المراقبة هي جزء مهم من إدارة الخواديم والخدمات الأساسية؛ تُراقَب معظم الخدمات الشبكية للأداء (performance) أو التوفر (availability) أو كليهما؛ سيَشرح هذا الفصل طريقة تثبيت وضبط Nagios لمراقبة التوفر، و Munin لمراقبة الأداء.

سنستخدم في أمثلة هذا الفصل خادومين بأسماء server01 و server02؛ سيُضبَط server01 مع Nagios لمراقبة الخدمات التي عليه وعلى الخادوم server02؛ وسيُضبَط server01 مع Munin لجمع المعلومات من الشبكة، باستخدام حزمة munin-node، وسيُضبَط server02 لكي يُرسِل المعلومات إلى server01.

نأمل أن تساعدك هذه الأمثلة البسيطة في مراقبة الخواديم والخدمات الإضافية في شبكتك.

Nagios

التثبيت

أولًا، ثبت الحزمة nagios على خادوم server01، وذلك بإدخال الأمر الآتي في الطرفية:

sudo apt-get install nagios3 nagios-nrpe-plugin

سيُطلَب منك إدخال كلمة مرور لمستخدم nagiosadmin، تصاريح المستخدم مخزنة في ‎/etc/nagios3/htpasswd.users. ولتعديل كلمة مرور nagiosadmin أو إضافة مستخدمين آخرين إلى سكربتات Nagios CGI، فاستخدم htpasswd الذي هو جزء من حزمة apache2-utils.

على سبيل المثال، لتغيير كلمة المرور لمستخدم nagiosadmin:

sudo htpasswd /etc/nagios3/htpasswd.users nagiosadmin

لإضافة مستخدم جديد:

sudo htpasswd /etc/nagios3/htpasswd.users steve

الآن على خادوم server02، ثبِّت الحزمة nagios-nrpe-server؛ بتنفيذ الأمر الآتي على server02:

sudo apt-get install nagios-nrpe-server

ملاحظة: سيسمح NRPE لك بتنفيذ فحوصات محلية على الأجهزة البعيدة، هنالك طرق أخرى للقيام بذلك عبر إضافات Nagios أخرى.

لمحة عن الضبط

هنالك عدة مجلدات تحتوي على ضبط Nagios وملفات التحقق (check files).

• ‎/etc/nagios3: يحتوي على ملفات الضبط لعمل عفريت nagios، وملفات CGI، والمضيفين ...إلخ.
• ‎/etc/nagios-plugins: يحتوي ملفات الضبط للتحقق من الخدمات.
• ‎/etc/nagios: في المضيفين البعيدين، ويحتوي على ملفات ضبط nagios-nrpe-server.
• ‎/usr/lib/nagios/plugins/‎: المكان الذي تخزَّن فيه ملفات التحقق الثنائية، استخدم الخيار ‎-h لمشاهدة المساعدة لتحققٍ ما. مثال: ‎/usr/lib/nagios/plugins/check_dhcp -h

هنالك وفرة في التحققات التي يمكن ضبط Nagios ليجريها على أي مضيف؛ سيُضبَط Nagios في هذا المثال للتحقق من مساحة القرص الصلب المتوفرة و DNS و MySQL؛ سيُجرى تحقق DNS على server02 وتحقق MySQL على server01 و server02.

هنالك بعض المصطلحات التي عندما تُشرَح ستُسهِّل فهم ضبط Nagios:

• المضيف (host): خادوم أو محطة عمل (workstation)، أو جهاز شبكي ...إلخ. الذي يُراقَب.
• مجموعة مضيفين (host group): مجموعة من المضيفين المتشابهين؛ على سبيل المثال، تستطيع أن تُجمِّع كل خواديم الويب أو خواديم الملفات ...إلخ.
• الخدمة (service): الخدمة التي تُراقَب في المضيف، مثل HTTP أو DNS أو NFS ...إلخ.
• مجموعة الخدمات (service group): تسمح لك بجمع عدِّة خدمات متشابهة مع بعضها بعضًا، هذا مفيد لتجميع عدّة خدمات HTTP على سبيل المثال.
• جهة الاتصال (contact): الشخص الذي سيُنبَّه عندما يحدث حدثٌ ما؛ يمكن ضبط Nagios ليرسل بريدًا إلكترونيًا أو رسائل SMS ...إلخ.

افتراضيًا، يكون ضبط Nagios ليتحقق من HTTP، والمساحة التخزينية المتوفرة في القرص، و SSH، والمستخدمين الحاليين، والعمليات، والحِمل على localhost؛ سيتحقق Nagios أيضًا من البوابة بعمل ping لها.

تثبيتات Nagios الضخمة قد يصبح ضبطها معقدًا جدًا، لذلك من الأفضل عادةً البدء بمضيف واحد أو اثنين ثم التوسع بعد ضبطهما جيدًا.

الضبط

1. أولًا، أنشئ ملف ضبط للمضيف للخادوم server02؛ ما لم يُذكر عكس ذلك، فعليك تنفيذ هذه الأوامر على server01؛ أدخِل ما يلي في الطرفية:

sudo cp /etc/nagios3/conf.d/localhost_nagios2.cfg \
/etc/nagios3/conf.d/server02.cfg

ملاحظة: في الأوامر السابقة أو التالية استبدل «server01» و «server02» و 172.18.100.100 و 172.18.100.101 بأسماء المضيفين وعناوين IP لخادومَيك.

2. ثم عدِّل الملف ‎/etc/nagios3/conf.d/server02.cfg:

define host{
        use                                       generic-host ; Name of host template to use  
        host_name                                 server02
        alias                                     Server 02
        address                                   172.18.100.101
}

# check DNS service.
define service {
        use                                       generic-service
        host_name                                 server02
        service_description                       DNS
        check_command                             check_dns!172.18.100.101
}

3. أعد تشغيل عفريت nagios لتفعيل الضبط الجديد:

sudo service nagios3 restart

1. أضف الآن تعريفًا للتحقق من MySQL بإضافة ما يلي إلى ‎/etc/nagios3/conf.d/‎ services_nagios.cfg:

# check MySQL servers.
define service {
        hostgroup_name        mysql-servers
        service_description   MySQL
        check_command         check_mysql_cmdlinecred!nagios!secret!$HOSTADDRESS 
        use                   generic-service
        notification_interval 0 ; set > 0 if you want to be renotified
}

2. يجب الآن تعريف مجموعة المضيفين mysql-servers؛ عدِّل الملف ‎/etc/nagios3/conf.d ‎/hostgroups_nagios2.cfg مضيفًا:

# MySQL hostgroup.
define hostgroup {
        hostgroup_name     mysql-servers
        alias              MySQL servers
        members            localhost, server02
}

3. يحتاج Nagios لأن يستوثق إلى MySQL، فأضف مستخدم nagios إلى MySQL بإدخال الأمر:

mysql -u root -p -e "create user nagios identified by 'secret';"

ملاحظة: يجب أن يتواجد المستخدم nagios في كل المضيفين في مجموعة mysql-servers.

4. أعد تشغيل nagios ليبدأ التحقق من خواديم MySQL:

sudo service nagios3 restart

1. أخيرًا، اضبط NRPE للتحقق من المساحة الفارغة في القرص على الخادوم server02.

أضف التحقق من الخدمة في server01 في ملف ‎/etc/nagios3/conf.d/server02.cfg:

# NRPE disk check.
define service {
        use                          generic-service
        host_name                    server02
        service_description          nrpe-disk
        check_command                check_nrpe_1arg!check_all_disks!172.18.100.101
}

2. الآن على الخادوم server02، عدِّل الملف ‎/etc/nagios/nrpe.cfg مغيّرًا:

allowed_hosts=172.18.100.100

ثم في منطقة تعريف الأمر أضف ما يلي:

command[check_all_disks]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -e

3. في النهاية، أعد تشغيل nagios-nrpe-server:

sudo service nagios-nrpe-server restart

4. وأيضًا على الخادوم server01 أعد تشغيل nagios:

sudo service nagios3 restart

يجب أن تكون قادرًا على رؤية المضيف والتحقق من الخدمات في ملفات Nagios CGI؛ للوصول إليهم، وجِّه متصفحك إلى http://server01/nagios3؛ ثم ستُسأل عن اسم مستخدم nagiosadmin وكلمة مروره.

مصادر

لم يشرح هذا القسم من الدرس إلا القليل من ميزات Nagios؛ تحتوي الحزمتين nagios-plugins-extra و nagios-snmp-plugins على المزيد من تحققات الخدمات.

• للمزيد من المعلومات، راجع موقع Nagios، تحديدًا موقع «التوثيق».
• هنالك قائمة بالكتب المتعلقة بمراقبة الشبكة و Nagios.
• صفحة ويكي أوبتتو «Nagios» فيها بعض التفاصيل الإضافية.

Munin

التثبيت

قبل تثبيت Munin على server01، فيجب أن يُثبَّت قبله apache2؛ الضبط الافتراضي كافٍ لتشغيل خادوم munin.

أولًا، ثبت munin على الخادوم server01 بإدخال الأمر:

sudo apt-get install munin

الآن ثبِّت الحزمة munin-node على الخادوم server02:

sudo apt-get install munin-node

الضبط

عدِّل الملف ‎/etc/munin/munin.conf على الخادوم server01 مُضيفًا عنوان IP للخادوم server02:

## First our "normal" host.
[server02]
address 172.18.100.101

ملاحظة: استبدل server02 و 172.18.100.101 باسم المضيف وعنوان IP الحقيقي لخادومك.

الآن اضبط munin-node على الخادوم server02، بتعديل ‎/etc/munin/munin-node.conf للسماح بالوصول إلى الخادوم server01:

allow ^172\.18\.100\.100$

ملاحظة: استبدل ‎^172\.18\.100\.100$ بعنوان IP لخادوم Munin الخاص بك.

أعد تشغيل munin-node على server02 لكي تأخذ التعديلات مجراها:

sudo service munin-node restart

في النهاية، وجِّه متصفحك إلى http://server01/munin، يجب أن ترى روابط إلى مخططات بيانية جميلة تعرض معلومات من الحزمة القياسية munin-plugins للقرص والشبكة والعمليات والنظام.

ملاحظة: لما كان هذا التثبيت حديثًا، فربما ستحتاج لبعض الوقت لعرض معلومات مفيدة.

إضافات أخرى

تحتوي حزمة munin-plugins-extra على تحققات من أداء خدماتٍ إضافية مثل DNS و DHCP، وسامبا ...إلخ. أدخل الأمر الآتي لتثبيت هذه الحزمة:

sudo apt-get install munin-plugins-extra

تأكد من تثبيت هذه الحزمة على جهازَيّ الخادوم والعقدة.

مصادر

• راجع موقع Munin لمزيدٍ من التفاصيل.
• تحديدًا صفحة «توثيق Munin» التي تحتوي على معلومات عن الإضافات الأخرى، وكيفية كتابة إضافات ...إلخ.
• مصدر آخر هو صفحة ويكي أوبنتو «Munin».

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Monitoring.

إن eCryptfs هو نظام ملفات للتشفير متوافق مع معايير POSIX ومن فئة الشركات لنظام لينُكس؛ وبتشكيل طبقة فوق طبقة نظام الملفات، فإن eCryptfs يحمي الملفات بغض النظر عن نظام الملفات المُستخدَم أو نوع القسم ...إلخ.

هنالك خيار أثناء التثبيت لتشفير قسم ‎/home، هذا سيضبط تلقائيًا كل شيء يحتاج له النظام لتشفير ووصل ذاك القسم.

سنشرح هنا طريقة الضبط لتشفير ‎/srv باستخدام eCryptfs.

استخدام eCryptfs

أولًا، ثبِّت الحزم اللازمة، بإدخال الأمر الآتي من الطرفية:

sudo apt-get install ecryptfs-utils

الآن صِل القسم الذي تريد تشفيره:

sudo mount -t ecryptfs /srv /srv

ستُسأل الآن عن بعض التفاصيل حول كيفية تشفير البيانات.

لاختبار أن الملفات الموجودة في ‎/srv هي مشفرة، فانسخ المجلد ‎/etc/default إلى ‎/srv:

sudo cp -r /etc/default /srv

ثم افصل القسم ‎/srv، وحاول عرض الملف:

sudo umount /srv
cat /srv/default/cron

إعادة وصل ‎/srv باستخدام ecryptfs ستجعل البيانات قابلةً للعرض مرةً أخرى.

وصل الأقسام المشفرة تلقائيا

هنالك طريقتان لوصل نظام ملفات مُشفَّر باستخدام ecryptfs أثناء الإقلاع؛ سيستخدم هذا المثال الملف ‎/root/.ecryptfsrc الذي يحتوي على خيارات الوصل، بالإضافة إلى ملف مرور موجود على قرص USB.

أنشِئ أولًا الملف ‎/root/.ecryptfsrc الذي يحتوي على:

key=passphrase:passphrase_passwd_file=/mnt/usb/passwd_file.txt
ecryptfs_sig=5826dd62cf81c615
ecryptfs_cipher=aes
ecryptfs_key_bytes=16
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=n

ملاحظة: عدِّل ecryptfs_sig إلى التوقيع في ‎/root/.ecryptfs/sig-cache.txt.

ثم أنشِئ ملف المرور ‎/mnt/usb/passwd_file.txt:

passphrase_passwd=[secrets]

أضف الآن الأسطر الضرورية إلى ملف ‎/etc/fstab:

/dev/sdb1 /mnt/usb ext3 ro 0 0
/srv /srv ecryptfs defaults 0 0

تأكد أن قرص USB سيوصل قبل القسم المشفر.

في النهاية، أعد الإقلاع ويجب أن يوصل ‎/srv باستخدام eCryptfs.

أدوات أخرى

الحزمة ecryptfs-utils تحتوي على أدواتٍ أخرى مفيدة:

• الأداة ecryptfs-setup-private تُنشِئ مجلد ‎~/Private الذي يحتوي على المعلومات المشفرة؛ يمكن تنفيذ هذه الأداة من المستخدمين العاديين للحفاظ على بياناتهم من المستخدمين الآخرين على النظام.
• الأداة ecryptfs-mount-private والأداة ecryptfs-umount-private ستصل أو تفصل مجلد ‎~/Private على التوالي وبالترتيب.
• ecryptfs-add-passphrase: إضافة عبارة مرور لما يسمى «kernel keyring».
• ecryptfs-manager: إدارة كائنات eCryptfs مثل المفاتيح.
• ecryptfs-stat: السماح لك بعرض معلومات eCryptfs الوصفية لملفٍ ما.

مصادر

• للمزيد من المعلومات حول eCryptfs، راجع صفحة المشروع على Lanuchpad.
• هنالك مقالة في Linux Journal تشرح eCryptfs.
• للمزيد من خيارات eCryptfs، راجع صفحة الدليل man ecryptfs.
• لدى صفحة ويكي أوبنتو «eCryptfs» المزيد من التفاصيل.

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: eCryptfs.

واحدة من أكثر الأشكال الشائعة للتشفير في وقتنا الراهن هي التشفير وفق المفتاح العمومي (public-key cryptography)؛ يستخدم التشفير وفق المفتاح العمومي مفتاحًا عامًا (public key) ومفتاحًا خاصًا (private key)؛ يعمل النظام بتشفير (encrypt) المعلومات باستخدام مفتاح عمومي، ولا يمكن أن يُفَكّ تشفيرها (decrypted) إلا باستخدام المفتاح الخاص.

استخدام شائع للتشفير وفق المفتاح العمومي هو تشفير البيانات المنقولة باستخدام اتصال SSL ‏(Secure Socket Layer) أو TLS‏ (Transport Layer Security)؛ على سبيل المثال، إن ضبط أباتشي لتوفير HTTPS -بروتوكول HTTP عبر SSL- يسمح بتشفير البيانات في بروتوكول لا يوفر بحد ذاته آليةً للتشفير.

الشهادة (Certificate) هي طريقة تستخدم لتوزيع المفتاح العمومي وغيره من المعلومات عن الخادوم والمنظمة المسؤولة عنه؛ تُوقَّع الشهادات إلكترونيًا بواسطة «سلطة الشهادات» (CA)، إن سلطة الشهادات هي طرفٌ ثالثٌ موثوق تأكد من دقة المعلومات الموجودة في الشهادة.

أنواع الشهادات

لضبط خادوم آمن باستخدام تشفير وفق المفتاح العمومي، عليك إرسال -في أغلب الحالات- طلب الشهادة (متضمنًا المفتاح العمومي الخاص بك) ودليلًا على هوية شركتك ودفعةً ماليةً إلى سلطة شهادات؛ ثم ستتحقق سلطة الشهادات من طلب الشهادة ومن هويتك، ثم ستُرسِل الشهادة إلى خادومك الآمن. بشكلٍ بديل، تستطيع إنشاء شهادتك الموقعة ذاتيًا.

للحصول على شهادة SSL قم باتباع الخطوات الموضحة في درس كيفية تثبيت شهادة SSL من سلطة شهادات تجارية أو يمكنك الحصول على شهادة SSL مجانية عبر خدمة Let's encrypt. 

ملاحظة: لاحظ أنه لا يجدر بك استخدام الشهادات الموقعة ذاتيًا في أغلبية بيئات العمل الإنتاجية.

بإكمال مثال HTTPS، ستوفر شهادة موقعة من سلطة الشهادات إمكانيتَين مهمتين لا تملكهما الشهادات الموقعة ذاتيًا:

• المتصفحات تتعرف (عادةً) تلقائيًا على الشهادة وتسمح بإنشاء اتصال آمن دون طلب موافقة المستخدم.
• عندما تعطي سلطة الشهادات شهادةً موقعة، فإنها تضمن هوية المنظمة التي توفر صفحات الويب إلى المتصفح.

أغلبية متصفحات الويب والحواسيب التي تدعم SSL لديها قائمة بسلطات الشهادات التي تُقبَل شهاداتها تلقائيًا؛ إذا واجه المتصفح شهادةً لم تكن سلطة الشهادات التي أصدرتها في قائمته، فإنه (أي المتصفح) سيطلب من المستخدم قبول أو رفض الاتصال؛ وقد تُولِّد بعض التطبيقات الأخرى رسالة خطأ عند استخدام شهادة موقعة ذاتيًا.

عملية الحصول على شهادة من سلطة الشهادات هي عملية سهلة جدًا، لمحة سريعة هي الآتية:

1. أنشِئ زوج مفاتيح خاص وعام.
2. أنشِئ طلب شهادة بناءً على المفتاح العمومي، يحتوي طلب الشهادة على معلومات عن خادومك والشركة التي تستضيفه.
3. أرسل طلب الشهادة مع الوثائق التي تثبت هويتك إلى سلطة الشهادات؛ لا نستطيع إخبارك أيّة سلطة شهادات عليك أن تختارها؛ ربما يكون قرارك مبنيًا على تجارب سابقة، أو على تجارب أحد أصدقائك أو زملائك، أو على عوامل اقتصادية.
4. بعد أن تختار سلطة الشهادات، فعليك اتباع تعليماتهم التي يوفرونها عن كيفية الحصول على شهادة منهم.
5. بعد أن تتأكد سلطة الشهادات أنك من تدعيّ أنك هو؛ فسيرسلون لك شهادةً رقميةً.
6. ثبِّت هذه الشهادة على خادومك الآمن، واضبط البرامج الملائمة لاستخدام هذه الشهادة.

توليد طلب توقيع الشهادة (CSR)

إذا كنت ستحصل على شهادة من سلطة شهادات أو كنت ستُوقِّع شهادتك ذاتيًا، فإن أول خطوة هي توليد مفتاح.

إذا كانت الشهادة ستُستخدَم من عفاريت الخدمات، مثل أباتشي، أو Postfix، أو Dovecot ...إلخ. فإن مفتاحًا بدون عبارة مرور (passphrase) كافٍ عادةً؛ عدم وجود عبارة مرور تسمح للخدمات أن تبدأ دون تدخل يدوي، وهذه هي الطريقة المفضلة لبدء تشغيل عفريت.

سيغطي هذا القسم طريقة توليد مفتاح مع عبارة مرور، وواحد آخر بدون عبارة مرور؛ ثم سنستخدم المفتاح بدون عبارة مرور لتوليد شهادة ستُستخدَم في مختلف عفاريت الخدمات.

تحذير: تشغيل خدمة آمنة بدون عبارة مرور هو أمر ملائم ﻷنك لن تحتاج إلى إدخال عبارة المرور كل مرة تبدأ فيها خدمتك الآمنة، لكن هذا غير آمن وأي كشف عن المفتاح سيؤدي إلى جعل الخادوم عرضةً للهجمات.

لتوليد «مفاتيح» لطلب توقيع الشهادة، عليك تنفيذ الأمر الآتي من مِحَث الطرفية:

openssl genrsa -des3 -out server.key 2048

Generating RSA private key, 2048 bit long modulus
..........................++++++
.......++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:

تستطيع الآن إدخال عبارة مرورك، لأفضل قدر من الحماية، يجب أن تحتوي على الأقل على ثمانية محارف؛ الطول الأدنى عند تحديد الخيار ‎-des3 هو أربعة محارف؛ ويجب أن تحتوي على أرقام أو على علامات ترقيم ولا تحتوي على كلمة من القاموس؛ تذكر أن عبارة المرور حساسة لحالة الأحرف.

أعد كتابة عبارة المرور للتحقق؛ وبعد إعادة كتابتها بشكل صحيح، فسيُولَّد مفتاح الخادوم وسيُخزَّن في ملف server.key.

أنشِئ الآن مفتاحًا غير آمن (insecure أي بدون عبارة مرور) ثم بدِّل بين أسماء المفاتيح:

openssl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

أصبح الآن اسم ملف المفتاح غير الآمن هو server.key، وسنستخدم هذا الملف لتوليد CSR بدون عبارة مرور.

نفِّذ الأمر الآتي في مِحَث الطرفية لإنشاء CSR:

openssl req -new -key server.key -out server.csr

ستُسأل عن إدخال عبارة المرور، إذا أدخلت عبارةً صحيحةً، فستُسأل عن إدخال اسم الشركة، واسم الموقع، ومعرف البريد الإلكتروني ...إلخ. بعد أن تُدخِل كل هذه التفاصيل، فسيُنشَأ طلب توقيع الشهادة (CSR) وسيُخزَّن في ملف server.csr.

يجب الآن إرسال ملف طلب توقيع الشهادة إلى سلطة الشهادات لمعالجته؛ ستستخدم سلطة الشهادات ملف طلب توقيع الشهادة لإصدار الشهادة؛ وعلى الكفة الأخرى، تستطيع توليد شهادتك الموقعة ذاتيًا باستخدام طلب توقيع الشهادة السابق.

إنشاء شهادة موقعة ذاتيا

نفِّذ الأمر الآتي في الطرفية لإنشاء شهادة موقعة ذاتيًا:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

سيسألك الأمر السابق عن عبارة المرور، بعد أن تدخل عبارة المرور الصحيحة، فستُنشَأ الشهادة وتُخزَّن في ملف server.crt.

تحذير: إذا استُخدِم خادومك الآمن في بيئة إنتاجية، فربما تحتاج إلى شهادة موقع من سلطة الشهادات (CA)، ليس من المستحسن استخدام شهادة موقعة ذاتيًا.

تثبيت الشهادة

تستطيع تثبيت ملف المفتاح server.key وملف الشهادة server.crt أو ملف الشهادة المُصدَر من سلطة الشهادات، بتنفيذ الأمرين الآتيين في الطرفية:

sudo cp server.crt /etc/ssl/certs
sudo cp server.key /etc/ssl/private

اضبط الآن ببساطة أيّة تطبيقات فيها إمكانية استخدام التشفير وفق المفتاح العمومي لكي تستخدم ملفات الشهادة والمفتاح؛ على سبيل المثال، يمكن أن يزود أباتشي HTTPS، و Dovecot يستطيع أن يزود IMAPS و POP3S ...إلخ.

سلطة الشهادات

إذا كانت تتطلب الخدمات على شبكتك أكثر من مجرد بضع شهادات موقعة ذاتيًا، فربما يكون من المفيد بذل جهد إضافي وإعداد سلطة شهادات داخلية؛ ستسمح الشهادات الموقعة من سلطة الشهادات الخاصة بك لمختلف الخدمات باستخدام الشهادات لكي تثق بسهولة بالخدمات الأخرى التي تملك شهادات مُصدَرة من نفس سلطة الشهادات.

1. أنشِئ أولًا المجلدات التي سنضع فيها شهادة سلطة الشهادات والملفات المتعلقة بذلك:

sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts

2. تحتاج سلطة الشهادات إلى بضعة ملفات إضافية لكي تعمل، واحدٌ لكي يتعقب آخر رقم تسلسلي اُستخدِم من سلطة الشهادات، إذ يجب أن تملك كل شهادة رقمًا تسلسليًا فريدًا؛ وملفٌ آخر لتسجيل الشهادات التي أُصدِرَت:

sudo sh -c "echo '01' > /etc/ssl/CA/serial"
sudo touch /etc/ssl/CA/index.txt

3. الملف الثالث هو ملف ضبط سلطة الشهادات، على الرغم من أنه ليس مطلوبًا، لكن من المنطقي وجوده عند إنشاء عدّة شهادات؛ عدِّل ملف ‎/etc/ssl/openssl.cnf وفي قسم [ CA_default ]، غيِّر ما يلي:

dir = /etc/ssl/ # Where everything is kept
database = $dir/CA/index.txt # database index file.
certificate = $dir/certs/cacert.pem # The CA certificate
serial = $dir/CA/serial # The current serial number
private_key = $dir/private/cakey.pem # The private key

4. ثم أنشِئ الشهادة الجذر الموقعة ذاتيًا:

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem \
-days 3650

ستُسأل عن إدخال التفاصيل حول الشهادة.

5. الآن ثبت الشهادة الجذر والمفتاح:

sudo mv cakey.pem /etc/ssl/private/
sudo mv cacert.pem /etc/ssl/certs/

6. أنت الآن جاهزٌ لبدء توقيع الشهادات، أول شيء مطلوب هو «طلب توقيع الشهادة» (راجع القسم السابق لمزيد من المعلومات)، بعد أن تحصل على طلب توقيع الشهادة، فأدخِل ما يلي لتوليد شهادة موقعة من سلطة الشهادات:

sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf

بعد إدخال كلمة المرور لمفتاح سلطة الشهادات، فستُسأل عن توقيع الشهادة، ومرةً أخرى لإصدار الشهادة، يجب أن ترى كميةً كبيرةً من المخرجات المتعلقة بإنشاء الشهادة.

7. يجب أن يكون هنالك ملف جديد هو ‎/etc/ssl/netcerts/01.pem يحتوي على نفس المخرجات، انسخ والصق كل شيء من بداية السطر -----BEGIN CERTIFICATE----- إلى السطر ----END CERTIFICATE----- إلى ملف مسمى بنفس اسم المضيف لخادومك مكان تثبيت الشهادة؛ فمثلًا الاسم mail.example.com.crt هو اسم وصفي جيد.

الشهادات المتتالية ستُسمى 02‎.pem ،03‎.pem ...إلخ.

ملاحظة: استبدل mail.example.com.crt بالاسم الوصفي الخاص بك.

8. في النهاية، انسخ الشهادة الجديدة إلى المضيف الذي يحتاج لها واضبط الخدمات الملائمة لكي تستخدمها، المكان الافتراضي لتثبيت الشهادات هو ‎/etc/ssl/certs، وهذا ما سيُمكِّن عدِّة خدمات من استخدام نفس الشهادة دون تعقيد أذونات الملف.

للتطبيقات التي يمكن ضبطها لاستخدام شهادة CA، يجب أن تَنسخ أيضًا الملف ‎/etc/ssl/certs/cacert.pem إلى مجلد ‎/etc/ssl/certs/‎ على كل خادوم.

مصادر

• لتعليمات تفصيلية عن استخدام التشفير، راجع صفحة «SSL Certificates HOWTO».
• صفحة ويكيبيديا HTTPS لديها المزيد من المعلومات حول HTTPS.
• للمزيد من المعلومات حول OpenSSL، راجع الصفحة الرئيسية لموقع OpenSSL.
• أيضًا، كتاب «Network Security with OpenSSL» من O'Reilly هو مرجع معمّق.

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Certifications.

يشرح هذا الدرس استخدام SSSD للاستيثاق من تسجيلات دخول المستخدم باستخدام Active Directory بطريقة «ad»؛ أما في الإصدارات القديمة من sssd، كان من الممكن أن يتم الاستيثاق بطريقة «ldap»، لكن عندما يتم الاستيثاق باستخدام مايكروسوفت ويندوز Active Directory، فكان من الضروري تثبيت إضافات POSIX AD في المتحكم بالنطاق؛ لكن طريقة «ad» تبسِّط الضبط ولا تتطلب أيّة تغيرات في بنية المتحكم بالنطاق.

الشروط المسبقة والافتراضات والمتطلبات

• نفترض أن لديك Active Directory مضبوط وجاهز للعمل.
• نفترض أن المتحكم بالنطاق يعمل كخادوم DNS.
• نفترض أن المتحكم بالنطاق هو خادوم DNS الرئيسي المحدد في ‎/etc/resolv.conf.
• نفترض أن قيود ‎_kerberos، و ‎_ldap، و ‎_kpasswd ...إلخ. مضبوطة في منطقة DNS.
• نفترض أن الوقت مُزامَنٌ على المتحكم بالنطاق.
• النطاق المستخدم في هذا المثال هو myubuntu.example.com.

التثبيت

يجب تثبيت الحزم krb5-user ،samba ،sssd و ntp؛ نحتاج إلى تثبيت سامبا حتى لو لم يُقدِّم الخادوم أيّة مشاركات. هنالك حاجة لحقل Kerberos والاسم الكامل أو عنوان IP للمتحكمات بالنطاق. أدخِل الأمر الآتي لتثبيت تلك الحزم:

sudo apt-get install krb5-user samba sssd ntp

انظر إلى القسم التالي لطريقة الإجابة عن الأسئلة التي يسألها السكربت المشغَّل بعد تثبيت حزمة krb5-user.

ضبط Kerberos

ستُسأل عند تثبيت حزمة krb5-user عن اسم الحقل (realm name) بأحرفٍ كبيرة؛ وعن خادوم مركز توزيع المفاتيح (أي المتحكم بالنطاق) وعن الخادوم المدير (المتحكم بالنطاق أيضًا في هذا المثال)؛ وهذا ما سيكتب القسمين [realm] و [domain_realm] في ملف ‎/etc/krb5.conf؛ هذه الأقسام ليست ضرورية إن كان الاكتشاف التلقائي للنطاق مفعّلًا، خلا ذلك فكلاهما ضروريٌ.

إذا كان اسم النطاق myubuntu.example.com، فأدخِل اسم الحقل كما يلي: MYUBUNTU.EXAMPLE.COM.

وبشكل اختياري، عدِّل الملف ‎/etc/krb5.conf مضيفًا بعض الخيارات لتحديد مدة صلاحية بطاقة Kerberos (هذه القيم جيدة لتستخدم قيمًا افتراضيةً):

[libdefaults]

default_realm = MYUBUNTU.EXAMPLE.COM
ticket_lifetime = 24h #
renew_lifetime = 7d

إذا لم تُحدَّد قيمة default_realm، فربما من الضروري تسجيل الدخول باستخدام «username@domain» بدلًا من «username».

يجب أن يكون وقت النظام في عضو نطاق Active Directory متوافقًا مع مثيله في المتحكم بالنطاق، وإلا فستفشل عملية الاستيثاق باستخدام Kerberos؛ فمثلًا، يمكن أن يُوفِّر خادوم المتحكم بالنطاق خدمة NTP؛ عدِّل الملف ‎/etc/ntp.conf:

server dc.myubuntu.example.com

ضبط سامبا

يجب أن يُستخدَم سامبا لتوفير خدمات netbois/nmbd المتعلقة بالاستيثاق من Active Directory، حتى وإن لم تُشارَك أيّة ملفات. عدِّل الملف ‎/etc/samba/smb.conf وأضف ما يلي إلى قسم [global]:

[global]

workgroup = MYUBUNTU
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = MYUBUNTU.EXAMPLE.COM
security = ads

ملاحظة: بعض المراجع تقول أنه يجب تحديد «password server» وأن يشير إلى المتحكم بالنطاق؛ لكن هذا ضروريٌ فقط إن لم يُضبَط DNS للعثور على المتحكم بالنطاق؛ حيث يَعرِض سامبا افتراضيًا تحذيرًا إن ضُبِطَ الخيار «password server» مع «security = ads».

ضبط SSSD

لا يوجد ملف ضبط افتراضي أو مثال عن ملف الضبط لملف ‎/etc/sssd/sssd.conf في حزمة sssd؛ فمن الضروري إنشاء واحد؛ ها هو ذا أصغر ملف ضبط يمكن أن يعمل:

[sssd]
services = nss, pam
config_file_version = 2
domains = MYUBUNTU.EXAMPLE.COM

[domain/MYUBUNTU.EXAMPLE.COM]
id_provider = ad
access_provider = ad

# Use this if users are being logged in at /.
# This example specifies /home/DOMAIN-FQDN/user as $HOME.
# Use with pam_mkhomedir.so
override_homedir = /home/%d/%u

# Uncomment if the client machine hostname doesn't match
# the computer object on the DC.
# ad_hostname = mymachine.myubuntu.example.com

# Uncomment if DNS SRV resolution is not working
# ad_server = dc.mydomain.example.com

# Uncomment if the AD domain is named differently than the Samba domain
# ad_domain = MYUBUNTU.EXAMPLE.COM

# Enumeration is discouraged for performance reasons.
# enumerate = true

بعد حفظ الملف، فانقل الملكية إلى الجذر، وغيِّر أذونات الملف إلى 600:

sudo chown root:root /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf

حيث سيرفض sssd أن يعمل إن لم تكن الملكية أو الأذونات صحيحةً.

التأكد من ضبط nsswitch.conf

السكربت الذي يعمل بعد تثبيت حزمة sssd يُجري بعض التعديلات على ملف ‎‎/etc/nsswitch.conf تلقائيًا؛ حيث يجب أن يكون كما يلي:

passwd:     compat sss
group:      compat sss
...
netgroup:   nis sss
sudoers:    files sss

تعديل ملف ‎/etc/hosts

أضف اسمًا بديلًا الذي يحدد اسم النطاق الكامل للحاسوب المحلي في ملف ‎/etc/hosts كما يلي:

192.168.1.10 myserver myserver.myubuntu.example.com

هذا مفيد لاستخدامه مع تحديثات DNS الديناميكية.

الانضمام إلى Active Directory

عليك الآن إعادة تشغيل ntp و samba، وتشغيل sssd:

sudo service ntp restart
sudo restart smbd
sudo restart nmbd
sudo start sssd

ثم اختبر الضبط بمحاولة الحصول على بطاقة Kerberos:

sudo kinit Administrator

تحقق من البطاقة باستخدام:

sudo klist

إذا كانت هنالك بطاقة مع تاريخ انتهاء الصلاحية، فقد حان الوقت للانضمام إلى النطاق:

sudo net ads join -k

• التحذير «No DNS domain configured. Unable to perform DNS Update‎.‎» يعني أنه ليس هنالك اسم بديل (أو اسم بديل صحيح) في ملف ‎/etc/hosts، ولا يمكن للنظام توفير الاسم الكامل له؛ فعليك التحقق من الاسم البديل في ‎/etc/hosts كما هو مشروح في قسم «تعديل ملف etc/hosts/» أعلاه.

• الرسالة «NT_STATUS_UNSUCCESSFUL» تشير إلى أن الانضمام إلى النطاق قد فشل وأن هنالك شيء ما خاطئ، عليك مراجعة الخطوات السابقة وإصلاح المشكلة قبل الإكمال.

هنالك تحققان آخران اختياريان للتأكد من أن الانضمام إلى النطاق قد نجح؛ لاحظ أنه إذا نجح الانضمام إلى النطاق لكن إذا فشل أحد أو كلا التحققين، فربما عليك الانتظار لدقيقةٍ أو دقيقتين قبل المحاولة مرةً أخرى؛ حيث يبدو أن بعض التغيرات لا تحدث في الوقت الحقيقي.

1. التحقق الأول:

تحقق من «وحدة التنظيم» (Organizational Unit) لحسابات الحواسيب في Active Directory للتأكد من أن حساب الحاسوب قد أُنشِئ (وحدات التنظيم هي موضوع خارج عن نطاق هذا الدرس).

2. التحقق الثاني:

نفِّذ الأمر الآتي لمستخدم AD معيّن (المدير مثلًا):

getent passwd username

ملاحظة: إذا ضبطت الخاصية «enumerate = ture» في ملف sssd.conf، فإن الأمر getnet passwd دون تمرير اسم مستخدم كوسيط سيَعرض جميع مستخدمي النطاق؛ ربما يكون هذا السلوك مفيدًا للاختبار، لكنه بطيء وغير مستحسن للخواديم الإنتاجية.

اختبار الاستيثاق

يجب أن يكون الآن من الممكن الاستيثاق عبر Active Directory:

su - username

إذا عَمِلَ الأمر السابق بنجاح، فيجب أن تعمل بقية طرق الاستيثاق (getty، و SSH).

إذا أُنشِئ حساب الحاسوب، مما يشير إلى أن النظام قد انضم إلى النطاق، لكن فشل الاستيثاق؛ فربما من المفيد مراجعة الملف ‎/etc/pam.d و sssdwitch.conf وأيضًا تغيرات الملفات المشروحة آنفًا في هذا الدرس.

مجلدات المنزل مع pam_mkhomedir

عند تسجيل الدخول باستخدام حساب مستخدم Active Directory، فمن المحتمل ألّا يكون للمستخدم مجلد منزل، ويمكن حل هذه المشكلة باستخدام pam_mkhomedir.so، حيث سيُنشَأ مجلد المنزل للمستخدم عند تسجيل الدخول؛ عدِّل ملف ‎/etc/pam.d/common-session، وأضف هذا السطر مباشرةً بعد «session required pam_unix.so»:

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

ملاحظة: قد تحتاج إلى «override_homedir» في ملف sssd.conf للعمل عملًا صحيحًا، تأكد من ضبط تلك الخاصية هناك.

الاستيثاق في سطح مكتب أوبنتو

من الممكن أيضًا الاستيثاق من المستخدمين في سطح مكتب أوبنتو باستخدام حسابات Active Directory؛ لكن لن تظهر أسماء حسابات مستخدمي AD في قائمة الاختيار مع المستخدمين المحليين، لذلك يجب تعديل lightdm؛ وذلك بتحرير الملف ‎/etc/lightdm/lightdm.conf.d/50-unity-greeter.conf وإضافة السطرين الآتيين:

greeter-show-manual-login=true
greeter-hide-users=true

أعد الإقلاع لإعادة تشغيل lightdm، حيث يمكن الآن تسجيل الدخول باستخدام حساب تابع للنطاق إما بالشكل «username» أو «username/username@domain».

المصادر

• صفحة مشروع SSSD.
• مقالة «DNS Server Configuration guidelines».
• صفحة «Active Directory DNS Zone Entries».
• صفحة «Kerberos config options».

لا يستعمل أغلب الناس Kerberos لوحده، فبعد أن يستوثق المستخدم (Kerberos)، فسنحتاج لمعرفة ماذا بإمكانه أن يفعل (تصريح [authorization])؛ وهنا تكون مهمة البرامج مثل LDAP.

قد يكون استنساخ قاعدة مبادئ Kerberos بين خادومين أمرًا معقدًا، ويضيف قاعدة بيانات مستخدم أخرى إلى شبكتك؛ لحسن الحظ، MIT Kerberos مضبوطٌ ليستخدم دليل LDAP كقاعدة بيانات للمبادئ؛ يشرح هذا الدرس ضبط خادومَيّ Kerberos الرئيسي والثانوي لاستخدام OpenLDAP لقاعدة بيانات المبادئ.

ملاحظة: الأمثلة هنا تستخدم MIT Kerberos و OpenLDAP.

ضبط OpenLDAP

أولًا، يجب تحميل المخطط الضروري على خادوم OpenLDAP الذي لديه اتصال شبكي مع مركز توزيع المفاتيح الرئيسي والثانوي؛ بقية هذا القسم تفترض أن لديك استنساخ LDAP مضبوط بين خادومين على الأقل؛ للمزيد من المعلومات حول ضبط OpenLDAP راجع درس «خادوم OpenLDAP».

من المطلوب أيضًا ضبط OpenLDAP من أجل اتصالات TLS و SSL؛ لذلك ستكون جميع البيانات المارة بين خادومي LDAP و KDC مشفرةً.

ملاحظة: cn=admin,cn=config هو المستخدم الذي أنشأناه مع امتياز الكتابة إلى قاعدة بيانات ldap؛ تكون القيمة في كثير من الأحيان هي RootDN، عدِّل قيمته وفقًا للضبط عندك.

• لتحميل المخطط على LDAP، فثبِّت الحزمة krb5-kdc-ldap في خادوم LDAP؛ أي أدخِل الأمر الآتي في الطرفية:

sudo apt-get install krb5-kdc-ldap

• ثم استخرج محتويات الملف kerberos.schema.gz:

sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/

• يجب أن يضاف مخطط kerberos إلى شجرة cn=config؛ آلية إضافة مخطط جديد إلى slapd مفصلةٌ في قسم «تعديل قاعدة بيانات ضيط slapd» من درس «خادوم OpenLDAP».

1. أولًا، أنشِئ ملف ضبط باسم schema_convert.conf، أو أي اسم آخر ذي معنى، يحتوي على الأسطر الآتية:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/kerberos.schema

2. أنشِئ مجلدًا مؤقتًا لاحتواء ملفات LDIF:

mkdir /tmp/ldif_output

3. استخدم الآن slapcat لتحويل ملفات المخطط:

slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s \
"cn={12}kerberos,cn=schema,cn=config" > /tmp/cn\=kerberos.ldif

عدِّل اسم الملف والمسار السابق ليُطابِق ما عندك إن كان مختلفًا.

4. عدِّل الخاصيات الآتية في الملف المولَّد ‎/tmp/cn=kerberos.ldif:

dn: cn=kerberos,cn=schema,cn=config
...
cn: kerberos

واحذف الأسطر الآتية من نهاية الملف:

structuralObjectClass: olcSchemaConfig
entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc
creatorsName: cn=config
createTimestamp: 20090111203515Z
entryCSN: 20090111203515.326445Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20090111203515Z

قد تختلف قيم تلك الخاصيات، لكن تأكد أنها قد حُِذِفَت.

5. حمِّل المخطط الجديد بالأمر ldapadd:

ldapadd -x -D cn=admin,cn=config -W -f /tmp/cn\=kerberos.ldif

6. أضف فهرسًا لخاصية krb5principalname:

ldapmodify -x -D cn=admin,cn=config -W
Enter LDAP Password:
dn: olcDatabase={1}hdb,cn=config
add: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub

modifying entry "olcDatabase={1}hdb,cn=config"

7. وفي النهاية، حدِّث قوائم التحكم في الوصول (ACL):

ldapmodify -x -D cn=admin,cn=config -W
Enter LDAP Password:
dn: olcDatabase={1}hdb,cn=config
replace: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey by
dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
-
add: olcAccess
olcAccess: to dn.base="" by * read
-
add: olcAccess
olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read

modifying entry "olcDatabase={1}hdb,cn=config"

هذا كل ما في الأمر، أصبح دليل LDAP جاهزًا لكي يخدم كقاعدة بيانات مبادئ Kerberos.

ضبط مركز توزيع المفاتيح الرئيسي

بعد ضبط OpenLDAP، حان الوقت الآن لضبط مركز توزيع المفاتيح.

• أولًا، ثبِّت الحزم الضرورية الآتية، بتنفيذ الأمر:

sudo apt-get install krb5-kdc krb5-admin-server krb5-kdc-ldap

• عدِّل الآن ملف ‎/etc/krb5.conf بإضافة الخيارات الآتية تحت الأقسام الملائمة لها:

[libdefaults]
        default_realm = EXAMPLE.COM
...

[realms]
        EXAMPLE.COM = {
                kdc = kdc01.example.com
                kdc = kdc02.example.com
                admin_server = kdc01.example.com
                admin_server = kdc02.example.com
                default_domain = example.com
                database_module = openldap_ldapconf
        }
...

[domain_realm]
        .example.com = EXAMPLE.COM
...

[dbdefaults]
        ldap_kerberos_container_dn = dc=example,dc=com

[dbmodules]
        openldap_ldapconf = {
                db_library = kldap
                ldap_kdc_dn = "cn=admin,dc=example,dc=com"
                # this object needs to have read rights on
                # the realm container, principal container and realm sub-trees
                ldap_kadmind_dn = "cn=admin,dc=example,dc=com"
                # this object needs to have read and write rights on
                # the realm container, principal container and realm sub-trees
                ldap_service_password_file = /etc/krb5kdc/service.keyfile
                ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com
                ldap_conns_per_server = 5
        }

ملاحظة: عدِّل قيم example.com ،dc=example,dc=com ،cn=admin,dc=example,dc=com ،ldap01.example.com للقيم الملائمة للنطاق، وكائن LDAP، وخادوم LDAP لشبكتك.

• لاحقًا، استخدم الأداة kdb5_ldap_util لإنشاء الحقل:

sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com create -subtrees \
dc=example,dc=com -r EXAMPLE.COM -s -H ldap://ldap01.example.com

• أنشِئ «مخبأً» (stash) لكلمة المرور المستخدم في خادوم LDAP، تستخدم هذه الكلمة من ldap_kdc_dn و ldap_kadmind_dn في ملف ‎/etc/krb5.conf:

sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com

• انسخ شهادة سلطة الشهادات من خادوم LDAP:

scp ldap01:/etc/ssl/certs/cacert.pem .
sudo cp cacert.pem /etc/ssl/certs

• الآن عدِّل ‎/etc/ldap/ldap.conf ليستخدم الشهادة:

TLS_CACERT /etc/ssl/certs/cacert.pem

ملاحظة: يجب أن تُنسَخ الشهادة أيضًا إلى مركز توزيع المفاتيح الثانوي، للسماح بالاتصال إلى خواديم LDAP باستخدام LDAPS.

تستطيع الآن إضافة مبادئ Kerberos إلى قاعدة بيانات LDAP، وستُنسَخ إلى بقية خواديم LDAP المضبوطة للاستنساخ. فأدخل ما يليل لإضافة مبدأ باستخدام الأداة kadmin.local:

sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: addprinc -x dn="uid=steve,ou=people,dc=example,dc=com" steve
WARNING: no policy specified for steve@EXAMPLE.COM; defaulting to no policy
Enter password for principal "steve@EXAMPLE.COM":
Re-enter password for principal "steve@EXAMPLE.COM":
Principal "steve@EXAMPLE.COM" created.

يجب أن تكون خاصيات krbPrincipalName ،krbPrincipalKey ،krbLastPwdChange ،krbExtraData مضافةً إلى كائن المستخدم uid=steve,ou=people,dc=example,dc=com؛ استخدم أداتَيّ kinit و klist لاختبار إذا أصدر المستخدم المعين بطاقةً.

ملاحظة: إذا كان كائن المستخدم مُنشأً مسبقًا، فإنه يجب إضافة الخيار ‎-x dn="..."‎ إلى خاصيات Kerberos؛ لأنه سيُنشَأ فيما عدا ذلك كائن مبدأي جديد في شجرة الحقل الفرعية.

ضبط مركز توزيع المفاتيح الثانوي

ضبط مركز توزيع المفاتيح الثانوي لاستخدم LDAP هو شبيه بضبطه لاستخدام قاعدة بيانات Kerberos العادية.

أولًا، ثبت الحزم الضرورية، بتطبيق الأمر الآتي في الطرفية:

sudo apt-get install krb5-kdc krb5-admin-server krb5-kdc-ldap

عدِّل الآن ملف ‎/etc/krb5.conf ليستخدم LDAP:

[libdefaults]
        default_realm = EXAMPLE.COM
...

[realms]
        EXAMPLE.COM = {
                kdc = kdc01.example.com
                kdc = kdc02.example.com
                admin_server = kdc01.example.com
                admin_server = kdc02.example.com
                default_domain = example.com
                database_module = openldap_ldapconf
}
...

[domain_realm]
        .example.com = EXAMPLE.COM
...

[dbdefaults]
        ldap_kerberos_container_dn = dc=example,dc=com

[dbmodules]
        openldap_ldapconf = {
                db_library = kldap
                ldap_kdc_dn = "cn=admin,dc=example,dc=com"

                # this object needs to have read rights on
                # the realm container, principal container and realm sub-trees
               ldap_kadmind_dn = "cn=admin,dc=example,dc=com"

               # this object needs to have read and write rights on
               # the realm container, principal container and realm sub-trees
               ldap_service_password_file = /etc/krb5kdc/service.keyfile
               ldap_servers = ldaps://ldap01.example.com ldaps://ldap02.example.com
               ldap_conns_per_server = 5
        }

أنشِئ مخبأً لكلمة مرور LDAP:

sudo kdb5_ldap_util -D cn=admin,dc=example,dc=com stashsrvpw -f \
/etc/krb5kdc/service.keyfile cn=admin,dc=example,dc=com

الآن انسخ مخبأ ‎‏«Master Key‎»‏ على المركز الرئيسي ‎/etc/krb5kdc/.k5.EXAMPLE.COM إلى مركز توزيع المفاتيح الثانوي؛ تأكد من نسخ الملف عبر اتصال مشفر مثل scp، أو عبر وسيط تخزين فيزيائي.

sudo scp /etc/krb5kdc/.k5.EXAMPLE.COM steve@kdc02.example.com:~
sudo mv .k5.EXAMPLE.COM /etc/krb5kdc/

ملاحظة: مرةً أخرى، استبدل EXAMPLE.COM باسم الحقل الحقيقي.

وبالعودة إلى المركز الثانوي، أعد تشغيل خادوم ldap فقط:

sudo service slapd restart

في النهاية، ابدأ عفريت krb5-kdc:

sudo service krb5-kdc start

تأكد أن خادومَيّ ldap (وبالتالي kerberos) متزامنَين.

تستطيع الآن إكمال استيثاق المستخدمين إن أصبح خادوم LDAP أو Kerberos، أو خادوم LDAP وخادوم Kerberos غير متوفرين.

مصادر

• لدى دليل «Kerberos Admin Guide» بعض التفاصيل الإضافية.
• للمزيد من المعلومات حول kdb5_ldap_util راجع صفحة دليل man kdb5_ldap_util.
• مصدر آخر مفيد هو صفحة الدليل man krb5.conf.
• انظر أيضًا لصفحة ويكي أوبنتو: «Kerberos and LDAP».

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Kerberos and LDAP.

إن Kerberos هو نظام استيثاق شبكي مبني على مفهوم الجهة الثالثة الموثوقة؛ الجهتان الأخريتان هما المستخدم والخدمة التي يريد المستخدم أن يستوثق فيها؛ لا يمكن لجميع الخدمات والتطبيقات استخدام Kerberos؛ لكن الخدمات التي تستطيع ذلك تجعله يُقرِّب بيئة الشبكة لتصبح أقرب خطوةً إلى «تسجيل الدخول الموحد» (Single Sign On‏ [SSO]).

يشرح هذا الدرس تثبيت وضبط خادوم Kerberos، وبعض الأمثلة عن ضبط العملاء.

لمحة عامة

إذا كنت جديدًا على Kerberos، فهذه بعض المصطلحات التي من الجيد معرفتها قبل إعداد خادوم Kerberos، أغلبها مرتبطةٌ بأشياء قد تعرفها من البيئات الأخرى:

• مبدأ (Principal): يجب أن تُعرَّف أيّة مستخدمين أو حواسيب أو خدمات موفرة من الخواديم كمبادئ Kerberos.
• النماذج (Instances): تستخدم لمبادئ الخدمة ومبادئ الإدارة الخاصة.
• الحقول (Realms): الحقل الفريد للتحكم الذي تم تزويده من عملية تثبيتKerberos؛ تخيل أن الحقول هي مجال أو مجموعة من المضيفين والمستخدمين الذين ينتمون إليها، ويُصطلَح أن الحقل يجب أن يكون بأحرف كبيرة؛ سيستخدم أوبنتو افتراضيًا عنوان DNS مُحوّلًا إلى أحرفٍ كبيرة (EXAMPLE.COM) اسمًا للحقل.
• مركز توزيع المفاتيح (Key Distribution Center‏ [KDC]): يتكون من ثلاثة أقسام: قاعدة بيانات لكل المبادئ، وخادوم استيثاق، وخادوم منح بطاقات (ticket granting server)؛ يحب أن يكون هنالك مركز توزيع للمفاتيح واحد على الأقل لكل حقل.
• بطاقة منح البطاقات (Ticket Granting Ticket): تُصدَر من خادوم الاستيثاق (Authentication Server‏ [AS])؛ بطاقة منح البطاقات (TGT) مشفرة بكلمة مرور المستخدم الذي يعلمها فقط المستخدم و مركز توزيع المفاتيح (KDC).
• خادوم منح البطاقات (Ticket Granting Server‏ [TGS]): يُصدِر خدمة البطاقات للعملاء عند الطلب.
• البطاقات: تأكيد هوية مبدأين، أحد تلك المبادئ هو المستخدم، والآخر هو الخدمة المطلوبة من المستخدم؛ تؤسس البطاقات مفتاح تشفير ليُستخدَم في الاتصالات الآمنة أثناء جلسة الاستيثاق.
• ملفات Keytab: الملفات المستخرجة من قاعدة بيانات مبادئ مركز توزيع المفاتيح وتحتوي على مفتاح التشفير للخدمة أو المضيف.

ولجمع القطع مع بعضها بعضًا، لدى الحقل مركز توزيع مفاتيح واحد على الأقل -ويفضل أن يكون لديه أكثر من واحد لضمان توفر الخدمة- الذي يحتوي على قاعدة بيانات بالمبادئ، وعندما يُسجِّل مستخدمٌ دخوله إلى منصة العمل المضبوطة لاستخدام استيثاق Kerberos؛ فإن مركز توزيع المفاتيح يصدر بطاقة منح البطاقات (TGT)، وإذا كانت التصاريح التي أعطاها المستخدم مطابقة، فسيتم الاستيثاق من المستخدم وبإمكانه الآن طلب البطاقات لخدمات Kerberos من خادوم منح البطاقات (TGS)، ستسمح خدمة البطاقات للمستخدم أن يستوثق إلى خدمة دون أن يُدخِل اسم المستخدم أو كلمة المرور.

خادوم Kerberos

التثبيت

لنقاشنا هذا، سننشِئ مجال MIT Kerberos مع الخاصيات الآتية (عدِّلها لتلائم حاجاتك):

• الحقل: EXAMPLE.COM.
• مركز توزيع المفاتيح الرئيسي: kdc01.example.com‏ (192.168.0.1).
• مركز توزيع المفاتيح الثانوي: kdc02.example.com‏ (192.168.0.2).
• مبدأ المستخدم: steve.
• مبدأ المدير: steve/admin.

ملاحظة: من المستحسن -وبشدة- أن تكون معرفات مستخدمين الشبكة الموثوقين في مجال مختلف عن المستخدمين المحليين (لنقل أنه يبدأ من 5000).

قبل تثبيت خادوم Kerberos، فمن الضروري وجود خادوم DNS مضبوط مسبقًا؛ ولما كان حقل Kerberos عرفيًا يستخدم اسم النطاق، فإن هذا القسم يستخدم النطاق EXAMPLE.COM التي ستُشرح طريقة ضبطه في قسم الرئيس الأولي في الدرس الخاص بخادوم DNS الذي سينشر لاحقًا في هذه السلسلة.

Kerberos هو بروتوكول حساس بالنسبة للوقت؛ فلو كان وقت النظام المحلي يختلف بين جهاز العميل وجهاز الخادوم أكثر من خمس دقائق (افتراضيًا)، فلن تستطيع منصة العمل أن تستوثق من العميل. ولتصحيح المشكلة، يجب أن يزامن جميع المضيفين وقتهم بواسطة بروتوكول وقت الشبكة (NTP)؛ للمزيد من المعلومات حول ضبط NTP، راجع الدرس «مزامنة الوقت باستخدام بروتوكول NTP».

أول خطوة في ضبط حقل Kerberos هي تثبيت حزمتَيّ krb5-kdc و krb5-admin-server؛ أدخل الأمر الآتي في الطرفية:

sudo apt-get install krb5-kdc krb5-admin-server

ستُسأل في نهاية التثبيت عن اسم مضيف Kerberos وخواديم Admin -اللذان يمكن أن يكونا نفس الخادوم أو غيره- للحقل (realm).

ملاحظة: افتراضيًا، يُنشَأ الحقل من اسم نطاق مركز توزيع المفاتيح.

ثم أنشِئ حقلًا جديدًا باستخدام الأداة kdb5_newrealm:

sudo kdb5_newrealm

الضبط

تستخدم الأسئلة التي سألوك إياها أثناء التثبيت لضبط ملف ‎/etc/krb5.conf؛ إذا احتجت لتعديل إعدادات مركز توزيع المفتاح (KDC) فعدِّل ببساطة الملف وأعد تشغيل عفريت krb5-kdc. إذا احتجت لإعادة ضبط Kerberos من الصفر، ربما لتغير اسم الحقل، فيمكنك ذلك بالأمر:

sudo dpkg-reconfigure krb5-kdc

1. بعد أن يعمل KDC عملًا سليمًا، فإنه من الضروري وجود مستخدم مدير (مبدأ المدير). من المستحسن استخدام اسم مستخدم مختلف عن اسم المستخدم الذي تستعمله عادةً. يمكن فعل ذلك عبر الأداة kadmin.local، بإدخال الأمر الآتي في الطرفية:

sudo kadmin.local
Authenticating as principal root/admin@EXAMPLE.COM with password.
kadmin.local: addprinc steve/admin
WARNING: no policy specified for steve/admin@EXAMPLE.COM; defaulting to no policy
Enter password for principal "steve/admin@EXAMPLE.COM":
Re-enter password for principal "steve/admin@EXAMPLE.COM":
Principal "steve/admin@EXAMPLE.COM" created.
kadmin.local: quit

في المثال السابق، يكون steve هو مبدأ، و ‎/admin هو نموذج، و يشير ‎@EXAMPLE.COM إلى الحقل، ويكون مبدأ المستخدم هو steve@EXAMPLE.COM، ويجب أن يحمل امتيازات المستخدم العادي فقط.

ملاحظة: استبدل EXAMPLE.COM و steve بالحقل واسم مستخدم المدير عندك على التوالي.

2. ثم يحتاج مستخدم المدير الجديد إلى أن يحصل على أذونات قوائم التحكم بالوصول (ACL) الملائمة؛ تُضبَط هذه الأذونات في ملف ‎/etc/krb5kdc/kadm5.acl:

steve/admin@EXAMPLE.COM *

يعطي هذا القيد steve/admin القدرة على القيام بأي عملية في جميع المبادئ في الحقل؛ تستطيع ضبط المبادئ بامتيازات أقل؛ والذي يكون ملائمًا إذا احتجت مبدأ مدير يستطيع طاقم العمل المبتدئ استخدامه في عملاء Kerberos؛ راجع صفحة الدليل man kadm5.acl لمزيد من التفاصيل.

3. أعد الآن تشغيل krb5-admin-server لكي تأخذ قوائم التحكم بالوصول الجديدة مفعولها:

sudo service krb5-admin-server restart

4. يمكن اختبار مبدأ المستخدم الجديد باستخدام الأداة kinit:

kinit steve/admin
steve/admin@EXAMPLE.COM's Password:

بعد إدخال كلمة المرور، فاستخدم klist لعرض معلومات حول بطاقة منح البطاقات (TGT):

klist
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: steve/admin@EXAMPLE.COM

Issued          Expires         Principal
Jul 13 17:53:34 Jul 14 03:53:34 krbtgt/EXAMPLE.COM@EXAMPLE.COM

حيث اسم ملف التخزين المؤقت krb5cc_1000 مكون من السابقة krb5cc_‎ ومعرف المستخدم uid، الذي في هذه الحالة 1000؛ ربما تحتاج لإضافة قيد في ملف ‎/etc/hosts من أجل مركز توزيع المفاتيح لكي يستطيع العميل العثور عليه، على سبيل المثال:

192.168.0.1 kdc01.example.com kdc01

استبدل 192.168.0.1 بعنوان مركز توزيع المفاتيح؛ هذا يحدث عادة عندما تملك حقل Kerberos يشمل عدّة شبكات مفصولة بموجهات (routers).

5. أفضل طريقة للسماح للعملاء بتحديد مركز توزيع المفاتيح للحقل هو استخدم سجلات DNS SRV، أضف ما يلي إلى ‎/etc/named/db.example.com:

_kerberos._udp.EXAMPLE.COM.     IN SRV 1  0 88  kdc01.example.com.
_kerberos._tcp.EXAMPLE.COM.     IN SRV 1  0 88  kdc01.example.com.
_kerberos._udp.EXAMPLE.COM.     IN SRV 10 0 88  kdc02.example.com.
_kerberos._tcp.EXAMPLE.COM.     IN SRV 10 0 88  kdc02.example.com.
_kerberos-adm._tcp.EXAMPLE.COM. IN SRV 1  0 749 kdc01.example.com.
_kpasswd._udp.EXAMPLE.COM.      IN SRV 1  0 464 kdc01.example.com.

ملاحظة: استبدل EXAMPLE.COM ،kdc01 و kdc02، باسم النطاق، ومركز توزيع المفاتيح الرئيسي، ومركز توزيع المفاتيح الثانوي على التوالي وبالترتيب.

انظر إلى الدرس تنصيب وإعداد خدمة اسم النطاق DNS لتعليمات تفصيلية حول ضبط DNS.

أصبح حقل Kerberos الجديد جاهزًا لاستيثاق العملاء.

مركز توزيع المفاتيح الثانوي

بعد أن حصلت على مركز توزيع المفاتيح (KDC) في شبكتك، فمن المستحسن الحصول على مركز ثانوي في حال لم يكن المركز الرئيسي متوافرًا؛ وأيضًا لو كان عندك عملاء Kerberos في شبكات مختلفة (ربما مفصولة بموجهات تستخدم NAT)، فمن الحكمة وضع مركز توزيع ثانوي في كل شبكة من تلك الشبكات.

1. أولًا، ثبت الحزم، عندما تسأل عن أسماء Kerberos و Admin server فادخل اسم مركز توزيع المفاتيح الرئيسي:

sudo apt-get install krb5-kdc krb5-admin-server

2. بعد أن ثبتت الحزم، أنشِئ مبدأ مضيف KDC، بإدخال الأمر الآتي في الطرفية:

kadmin -q "addprinc -randkey host/kdc02.example.com"

ملاحظة: بعد تنفيذك لأوامر kadmin فستُسأل عن كلمة مرور username/admin@EXAMPLE.COM.

3. استخرج ملف Keytab:

kadmin -q "ktadd -norandkey -k keytab.kdc02 host/kdc02.example.com"

4. يجب أن يكون هنالك ملف keytab.kdc02 في مجلدك الحالي، انقل الملف إلى ‎/etc/krb5.keytab:

sudo mv keytab.kdc02 /etc/krb5.keytab

ملاحظة: المسار إلى keytab.kdc02 يختلف تبعًا لمجلد العمل الحالي.

تستطيع أيضًا أن تُشكِّل قائمةً بالمبادئ في ملف Keytab؛ مما يفيد في استكشاف الأخطاء؛ استخدم الأداة klist:

sudo klist -k /etc/krb5.keytab

يشير الخيار ‎-k إلى أن الملف هو ملف keytab.

5. هنالك حاجة لوجود ملف kpropd.acl في كل مركز لتوزيع المفاتيح الذي يعرض كل مراكز توزيع المفاتيح للحقل؛ على سبيل المثال، أَنشِئ في مركز توزيع المفاتيح الرئيسي والثانوي الملف ‎/etc/krb5kdc/kpropd.acl:

host/kdc01.example.com@EXAMPLE.COM
host/kdc02.example.com@EXAMPLE.COM

6. أنشِئ قاعدة بيانات فارغة في المركز الثانوي:

sudo kdb5_util -s create

7. ابدأ الآن عفريت kpropd، الذي يستمع إلى الاتصالات من أداة kprop؛ تستخدم أداة kprop لنقل ملفات التفريغ:

sudo kpropd -S

8. من الطرفية في مركز توزيع المفاتيح الرئيسي، أنشئ ملف تفريغ من قاعدة بيانات المبادئ:

sudo kdb5_util dump /var/lib/krb5kdc/dump

9. استخرج ملف keytab في مركز توزيع المفاتيح الرئيسي وانقله إلى ‎/etc/krb5.keytab:

kadmin -q "ktadd -k keytab.kdc01 host/kdc01.example.com"
sudo mv keytab.kdc01 /etc/krb5.keytab

ملاحظة: تأكد من وجود مضيف مرتبط مع kdc01.example.com قبل استخراج Keytab.

10. استخدم الأداة kprop لدفع التغيرات إلى قاعدة البيانات في KDC الثانوي:

sudo kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com

ملاحظة: يجب أن تَظهر رسالة SUCCEEDED إذا تمت عملية «النسخ» بنجاح، إذا كانت هنالك رسالة خطأ، فتحقق من ‎/var/log/syslog في مركز توزيع المفاتيح الثانوي لمزيدٍ من المعلومات.

ربما ترغب بإنشاء مهمة مجدولة لتحديث قاعدة البيانات في مركز توزيع المفاتيح الثانوي كل فترة زمنية؛ ما يلي سيدفع التغييرات إلى قاعدة البيانات كل ساعة (لاحظ أن السطر الطويل قد جُزِّء لجزأين لكي يتسع في عرض الصفحة):

# m h dom mon dow command
0 * * * * /usr/sbin/kdb5_util dump /var/lib/krb5kdc/dump &&
/usr/sbin/kprop -r EXAMPLE.COM -f /var/lib/krb5kdc/dump kdc02.example.com

11. أنشئ ملف stash في المركز الثانوي لكي يُحفَظ به مفتاح Kerberos الرئيسي (Master Key):

sudo kdb5_util stash

12. في النهاية، شغل عفريت krb5-kdc في المركز الثانوي:

sudo service krb5-kdc start

يجب أن يكون المركز الثانوي قادرًا على إعطاء البطاقات للحقل؛ يمكنك اختبار ذلك بإيقاف عفريت krb5-kdc في المركز الرئيسي؛ ثم استخدام kinit لطلب بطاقة، وإذا جرى كل شيء على ما يرام، فيجب أن تحصل على بطاقة من مركز توزيع المفاتيح الثانوي؛ عدا ذلك، تحقق من ‎/var/log/syslog و ‎/var/log/auth.log في مركز توزيع المفاتيح الثانوي.

عميل Kerberos للينكس

يشرح هذا القسم ضبط نظام لينُكس كعميل Kerberos؛ هذا سيسمح بالوصول إلى أيّة خدمة تستخدم Kerberos بعد أن يستطيع المستخدم تسجيل دخوله إلى النظام.

التثبيت

لكي يتم الاستيثاق إلى حقل Kerberos؛ فإن حزمتَيّ krb5-user و libpam-krb5 مطلوبتان؛ بالإضافة إلى غيرها من الحزم غير المطلوبة لكنها تسهل عملك؛ أدخِل الأمر الآتي في مِحَث الطرفية لتثبيت هذه الحزم:

sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config

تسمح حزمة auth-client-config بضبط PAM ضبطًا بسيطًا للاستيثاق من مصادر عدّة، وستُخزِّن حزمة libpam-ccreds اعتماديات الاستيثاق مما يسمح لك بتسجيل الدخول في حال لم يكن مركز توزيع المفاتيح متاحًا؛ ستفيد هذه الحزمة الحواسيب المحمولة، التي يمكن أن تستوثق باستخدام Kerberos عندما تكون في شبكة الشركة، لكنها تحتاج إلى الوصول عندما تكون خارج الشبكة أيضًا.

الضبط

لضبط العميل، أدخل ما يلي في الطرفية:

sudo dpkg-reconfigure krb5-config

سيُطلَب منك إدخال اسم حقل Kerberos؛ أيضًا إن لم لديك DNS مضبوط مع سجلات Kerberos SRV؛ فستظهر قائمة تسألك عن اسم مضيف مركز توزيع المفاتيح وخادوم إدارة الحقل.

يضيف dpkg-reconfigure قيودًا إلى ملف ‎/etc/krb5.conf للحقل الخاص بك، يجب أن تحصل على قيود شبيهة بالآتي:

[libdefaults]
        default_realm = EXAMPLE.COM
...
[realms]
        EXAMPLE.COM = {
                kdc = 192.168.0.1
                admin_server = 192.168.0.1
        }

ملاحظة: إذا ضَبطت uid لكلٍ من مستخدمي شبكتك الموثوقين ليبدأ من 5000؛ كما هو منصوح به في قسم «التثبيت» من درس OpenLDAP، فتستطيع عندها أن تخبر pam بأن يستوثق باستخدام مستخدمي Kerberos عندما يكون uid أكبر من 5000:

# Kerberos should only be applied to ldap/kerberos users, not local ones.
for i in common-auth common-session common-account common-password; do
  sudo sed -i -r \
  -e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
  /etc/pam.d/$i
done

هذا ما سيتجنب الطلب لكلمات مرور (غير موجودة) لمستخدم موثوق محليًا عند تغيير كلمة المرور باستخدام passwd.

يمكنك اختبار الضبط بطلب بطاقة باستخدام الأداة kinit، على سبيل المثال:

kinit steve@EXAMPLE.COM
Password for steve@EXAMPLE.COM:

يمكن عرض التفاصيل عند إعطاء بطاقة باستخدام klist:

klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: steve@EXAMPLE.COM

Valid             starting Expires  Service principal
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/EXAMPLE.COM@EXAMPLE.COM
          renew until 07/25/08 05:18:57

Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached

ثم استخدم auth-client-config لضبط وحدة libpam-krb5 لطلب بطاقة أثناء تسجيل الدخول:

sudo auth-client-config -a -p kerberos_example

يجب أن تحصل الآن على بطاقة بعد عملية استيثاق ناجحة.

مصادر

• للمزيد من المعلومات حول نسخة MIT من Kerberos، راجع موقع «MIT Kerberos».
• توجد بعض التفاصيل في صفحة ويكي أوبنتو «Kerberos».
• الكتاب من O'Reilly المسمى «Kerberos: The Definitive Guide» هو مرجع ممتاز أثناء ضبط Kerberos.
• تستطيع أيضًا القدوم إلى قناتَيّ ‎#ubuntu-server و ‎#kerberos على خادوم IRC الشهير Freenode إذا كانت لديك أسئلة حول Kerberos.

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Kerberos.

تعرفنا في المقالين السابقين على كيفية تثبيت وضبط خادوم OpenLDAP على أوبنتو و كيفية القيام بعملية التناسخ لتفادي توقف الخادوم.

استيثاق LDAP

بعد أن أصبح عندك خادوم LDAP يعمل جيدًا، فستحتاج إلى تثبيت مكتبات على جهاز العميل التي تعلم كيف ومتى عليها أن تتصل إلى الخادوم؛ يتم ذلك في أوبنتو تقليديًا بتثبيت حزمة libnss-ldap؛ ستجلب هذه الحزمة أدواتٍ أخرى، وستساعدك في خطوة الضبط؛ ثبت الآن الحزمة:

sudo apt-get install libnss-ldap

ستُسأل عن معلوماتٍ حول خادوم LDAP؛ إذا ارتكبت خطأً هنا، فتستطيع المحاولة مرة أخرى بالأمر:

sudo dpkg-reconfigure ldap-auth-config

ستظهر نتائج مربع الحوار السابق في ملف ‎/etc/ldap.conf، إذا تطلَّب الخادوم خياراتٍ غير موجودة في القائمة، فعليك تعديل هذا الملف وفقًا لها.

اضبط LDAP لاستخدامه مع NSS:

sudo auth-client-config -t nss -p lac_ldap

اضبط النظام لاستخدام LDAP للاستيثاق:

sudo pam-auth-update

اختر LDAP وأيّة آليات استيثاق أخرى قد تحتاج لها من القائمة.

تستطيع الآن تسجيل الدخول بتصاريح مبنية على LDAP.

سيحتاج عملاء LDAP إلى الإشارة إلى عدّة خواديم إذا اُستخدِم الاستنساخ؛ يجب أن تضع شيئًا شبيهًا بالسطر الآتي في ملف ‎/‎etc/ldap.conf:

uri ldap://ldap01.example.com ldap://ldap02.example.com

إذا نَفِذَت مهلة (timeout) الطلب، فسيحاول العميل الوصول إلى المستهلك (ldap02) إذا لم يستجيب المزود (ldap01).

إذا كنت تريد استخدام LDAP لتخزين مستخدمي سامبا، فإن عليك ضبط سامبا ليستوثق عبر LDAP، وسنشرح ذلك في الدرس القادم.

ملاحظة: بديل عن حزمة libnss-ldap هي حزمة libnss-ldapd؛ التي ستجلب معها حزمة nscd الذي قد لا نرغب فيها؛ احذفها ببساطة بعد التثبيت.

إدارة المستخدمين والمجموعات

تأتي حزمة ldap-utils مع أدوات كافية لإدارة الدليل، لكن السلسلة الكبيرة من الإعدادات المطلوبة قد تصعِّب استخدامها؛ تحتوي حزمة ldapscripts على سكربتات متعلقة بهذه الأدوات التي يجدها بعض الأشخاص أسهل في الاستخدام.

ثبِّت الحزمة:

sudo apt-get install ldapscripts

ثم عدِّل الملف ‎/etc/ldapscripts/ldapscripts.conf حتى يصبح شبيهًا بالآتي:

SERVER=localhost
BINDDN='cn=admin,dc=example,dc=com'
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
SUFFIX='dc=example,dc=com'
GSUFFIX='ou=Groups'
USUFFIX='ou=People'
MSUFFIX='ou=Computers'
GIDSTART=10000
UIDSTART=10000
MIDSTART=10000

أنشِئ الآن الملف ldapscripts.passwd لكي يستطيع rootDN الوصول إلى الدليل:

sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd"
sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd

ملاحظة: ضع كلمة المرور الخاصة بمستخدم rootDN بدلًا من «secret».

أصبحت السكربتات جاهزةً لإدارة دليلك؛ هذه بضعة أمثلة حول طريقة استخدامها:

• إنشاء مستخدم جديد:

sudo ldapadduser george example

هذا ما سيُنشِئ مستخدمًا بمعرِّف george ويضبط مجموعة المستخدم الرئيسية إلى example.

• تغيير كلمة مرور المستخدم:

sudo ldapsetpasswd george
Changing password for user uid=george,ou=People,dc=example,dc=com
New Password:
New Password (verify):

• حذف مستخدم:

sudo ldapdeleteuser george

• إضافة مجموعة:

sudo ldapaddgroup qa

• حذف مجموعة:

sudo ldapdeletegroup qa

• إضافة مستخدم إلى مجموعة:

sudo ldapaddusertogroup george qa

عليك أن ترى الآن خاصية memberUid لمجموعة qa ذات القيمة george.

• إزالة مستخدم من مجموعة:

sudo ldapdeleteuserfromgroup george qa

يجب أن تزال الآن الخاصية memberUid من المجموعة qa.

• يسمح لك سكربت ldapmodifyuser بإضافة أو حذف أو استبدل خاصيات المستخدم؛ يستخدم هذا السكربت البنية العامة لأداة ldapmodify، على سبيل المثال:

sudo ldapmodifyuser george
# About to modify the following entry :
dn: uid=george,ou=People,dc=example,dc=com
objectClass: account
objectClass: posixAccount
cn: george
uid: george
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/george
loginShell: /bin/bash
gecos: george
description: User account
userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=

# Enter your modifications here, end with CTRL-D.
dn: uid=george,ou=People,dc=example,dc=com
replace: gecos
gecos: George Carlin

يجب أن يصبح الآن المستخدم gecos باسم «George Carlin».

• ميزة جميلة من ميزات ldapscripts هو نظام القوالب؛ تسمح لك القوالب بتخصيص خاصيات المستخدم، والمجموعة، وكائنات الجهاز؛ فعلى سبيل المثال، لتفعيل قالب user، عدِّل الملف ‎/etc/ldapscripts/ldapscripts.conf مغيّرًا:

UTEMPLATE="/etc/ldapscripts/ldapadduser.template"

هنالك عينات عن القوالب في مجلد ‎/etc/ldapscripts، انسخ أو أعد تسمية ملف ldapadduser.template.sample إلى ‎/etc/ldapscripts/ldapadduser.template:

sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template

عدِّل القالب الجديد ليضيف الخاصيات التي تريدها؛ سيُنشِئ ما يلي مستخدمين جدد بقيمة inetOrgPerson للخاصية objectClass:

dn: uid=<user>,<usuffix>,<suffix>
objectClass: inetOrgPerson
objectClass: posixAccount
cn: <user>
sn: <ask>
uid: <user>
uidNumber: <uid>
gidNumber: <gid>
homeDirectory: <home>
loginShell: <shell>
gecos: <user>
description: User account
title: Employee

لاحظ القيمة <ask> المُستخدَمة للخاصية sn؛ وهي ما سيجعل ldapadduser يسألك عن قيمتها.

هنالك أدوات في هذه الحزمة لم نشرحها هنا، هذه هي قائمةٌ كاملةٌ بها:

ldaprenamemachine
ldapadduser
ldapdeleteuserfromgroup
ldapfinger
ldapid
ldapgid
ldapmodifyuser
ldaprenameuser
lsldap
ldapaddusertogroup
ldapsetpasswd
ldapinit
ldapaddgroup
ldapdeletegroup
ldapmodifygroup
ldapdeletemachine
ldaprenamegroup
ldapaddmachine
ldapmodifymachine
ldapsetprimarygroup
ldapdeleteuser

النسخ الاحتياطي والاسترجاع

الآن يجب أن يعمل LDAP كما نريده تمامًا، فحان الآن الوقت للتحقق من أن عملنا يمكن أن يُستَرجَع وقت الحاجة.

كل ما نحتاج هو طريقة لنسخ قاعدة بيانات ldap احتياطيًا، وخصوصًا السند الخلفي (backend التي هي cn=config) والواجهة الأمامية (frontend التي هي dc=example,dc=com)؛ إذا كنت ستنسخ هذه القواعد نسخًا احتياطيًا إلى- ولِنَقُل- ‎/export/backup، فإننا سنستخدم slapcat كما هو موضَّح في السكربت الآتي المدعو ‎/usr/local/bin/ldapbackup:

#!/bin/bash

BACKUP_PATH=/export/backup
SLAPCAT=/usr/sbin/slapcat

nice ${SLAPCAT} -n 0 > ${BACKUP_PATH}/config.ldif
nice ${SLAPCAT} -n 1 > ${BACKUP_PATH}/example.com.ldif
nice ${SLAPCAT} -n 2 > ${BACKUP_PATH}/access.ldif
chmod 640 ${BACKUP_PATH}/*.ldif

ملاحظة: هذه الملفات هي ملفات نصية غير مضغوطة تحتوي كل شيء في قواعد بيانات LDAP بما فيها مخطط الشجرة، وأسماء المستخدمين، وكل كلمات المرور؛ لذلك ربما تفكر في جعل ‎/export/backup قسمًا مشفرًا؛ وحتى كتابة سكربت يشفر هذه الملفات عند إنشائها، وربما تفعل كلا الأمرين، ولكن ذلك متعلقٌ بمتطلبات الأمن في نظامك.

كل ما يلزم الآن هو الحصول على سكربت مهام مجدولة (cron) لتشغيل هذا البرنامج كل فترة زمنية (ترى أنها مناسبة)؛ سيكون ملائمًا للكثيرين جدولة تنفيذ البرنامج مرة واحدة كل يوم؛ لكن قد يحتاج الآخرون إلى مراتٍ أكثر في اليوم؛ هذا مثال عن سكربت cron مدعو ‎/etc/cron.d/ldapbackup، والذي سيعمل كل ليلة في تمام الساعة 22:45:

MAILTO=backup-emails@domain.com
45 22 * * * root /usr/local/bin/ldapbackup

وبعد إنشاء الملفات، يجب نقلها لخادوم النسخ الاحتياطي.

وعلى فرض أنك أعدت تثبيت ldap، فإن عملية الاسترجاع ستكون شبيهةً بما يلي:

sudo service slapd stop
sudo mkdir /var/lib/ldap/accesslog
sudo slapadd -F /etc/ldap/slapd.d -n 0 -l /export/backup/config.ldif
sudo slapadd -F /etc/ldap/slapd.d -n 1 -l /export/backup/domain.com.ldif
sudo slapadd -F /etc/ldap/slapd.d -n 2 -l /export/backup/access.ldif
sudo chown -R openldap:openldap /etc/ldap/slapd.d/
sudo chown -R openldap:openldap /var/lib/ldap/
sudo service slapd start

مصادر

• المصدر الأساسي هو توثيق www.openldap.org.
• هنالك الكثير من صفحات الدليل للحزمة slapd؛ هذه أهمها آخذين بعين الاعتبار المعلومات المقدمة في هذا الفصل:

man slapd
man slapd-config
man slapd.access
man slapo-syncprov

• صفحات الدليل الأخرى:

man auth-client-config
man pam-auth-update

• صفحة ويكي مجتمع أوبنتو «OpenLDAP» تحتوي مجموعةً من الملاحظات.
• كتاب O'Reilly المدعو «LDAP System Administration».
• كتاب Packt المدعو «Mastering OpenLDAP».

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: OpenLDAP Server.

تعرفنا في الدرس السابق على كيفية تثبيت وضبط خادوم openldap على أوبنتو، سنتعرف في هذا الدرس على التناسخ في خادوم OpenLDAP.

التناسخ

تتزايد أهمية خدمة LDAP عندما تزداد أنظمة الشبكات المُعتَمِدة عليها؛ تكون الممارسات العملية القياسية -في مثل هذه البيئة- هي بناء redundancy في LDAP لمنع توقف الخدمات إذا لم يعد يستجيب خادوم LDAP؛ يتم ذلك باستخدام تناسخ LDAP؛ نصل إلى التناسخ باستخدام محرك Syncrepl؛ الذي يسمح بمزامنة التغيرات باستخدام موديل «مستهلك-مزود»؛ نوع التناسخ الذي سنستخدمه في هذا الدرس هو دمج للنوعين الآتيين: refreshAndPersist، و delta-syncrepl؛ الذي يُرسِل فيه المزود القيود إلى المستهلك عند إنشائهم مباشرةً؛ بالإضافة إلى أنه لا تُرسَل جميع القيود، وإنما التغيرات التي حصلت فقط.

ضبط المزود

سنبدأ بضبط المزود (Provider)

1. أنشِئ ملف LDIF بالمحتويات الآتية وسمِّه provider_sync.ldif:

# Add indexes to the frontend db.
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryCSN eq
-
add: olcDbIndex
olcDbIndex: entryUUID eq

#Load the syncprov and accesslog modules.
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov
-
add: olcModuleLoad
olcModuleLoad: accesslog

# Accesslog database definitions
dn: olcDatabase={2}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap/accesslog
olcSuffix: cn=accesslog
olcRootDN: cn=admin,dc=example,dc=com
olcDbIndex: default eq
olcDbIndex: entryCSN,objectClass,reqEnd,reqResult,reqStart

# Accesslog db syncprov.
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpNoPresent: TRUE
olcSpReloadHint: TRUE

# syncrepl Provider for primary db
dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpNoPresent: TRUE

# accesslog overlay definitions for primary db
dn: olcOverlay=accesslog,olcDatabase={1}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcAccessLogConfig
olcOverlay: accesslog
olcAccessLogDB: cn=accesslog
olcAccessLogOps: writes
olcAccessLogSuccess: TRUE
# scan the accesslog DB every day, and purge entries older than 7 days
olcAccessLogPurge: 07+00:00 01+00:00

غيّر قيمة rootDN في ملف LDIF ليُطابِق الذي عندك في الدليل.

2. لا يجب تعديل إعدادات apparmor لبرمجية slapd لتحديد موقع قاعدة بيانات accesslog، لأن الملف ‎/etc/apparmor/local/usr.sbin.slapd يحتوي على الأسطر الآتية:

/var/lib/ldap/accesslog/ r,
/var/lib/ldap/accesslog/** rwk,

أنشِئ مجلدًا، وهيّء ملف ضبط قاعدة البيانات، وأعد تحميل apparmor:

sudo -u openldap mkdir /var/lib/ldap/accesslog
sudo -u openldap cp /var/lib/ldap/DB_CONFIG /var/lib/ldap/accesslog
sudo service apparmor reload

3. أضف المحتويات الجديدة؛ وأعد تشغيل العفريت بسبب التعديل في apparmor:

sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f provider_sync.ldif
sudo service slapd restart

لقد ضُبِطَ المزود بنجاح.

ضبط المستهلك

عليك الآن ضبط المستهلك.

1. تثبيت البرمجية باتباع تعليمات قسم «التثبيت»؛ وتأكد أن قاعدة بيانات slapd-config مماثلة للمزود؛ وتحديدًا تأكد من أن المخططات ولاحقة قاعدة البيانات هي نفسها.

2. أنشِئ ملف LDIF بالمحتويات الآتية وسمِّه consumer_sync.ldif:

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcSyncRepl
olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=admin,dc=exa
credentials=secret searchbase="dc=example,dc=com" logbase="cn=accesslog"
logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on
type=refreshAndPersist retry="60 +" syncdata=accesslog
-
add: olcUpdateRef
olcUpdateRef: ldap://ldap01.example.com

تأكد أن قيم الخاصيات الآتية صحيحة:

• provider (اسم مضيف المزود –ldap01.example.com في هذا المثال– أو عنوان IP).
• binddn (الاسم الفريد للمدير الذي تستخدمه).
• credentials (كلمة مرور المدير الذي تستخدمه).
• searchbase (لاحقة قاعدة البيانات التي تستخدمها).
• olcUpdateRef (اسم مضيف أو عنوان IP لخادوم المزود).
• rid عدد من ثلاثة أرقام يعرف النسخة، يجب أن يكون لكل مستهلك رقم rid واحد على الأقل).

3. أضف المحتويات الجديدة:

sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f consumer_sync.ldif

لقد انتهيت، يجب أن يبدأ الآن تزامن قاعدتَيّ البيانات (ذاتَيّ اللاحقة dc=example,dc=com).

الاختبار

بعد بدء الاستنساخ، تستطيع مراقبته بتشغيل الأمر:

ldapsearch -z1 -LLLQY EXTERNAL -H ldapi:/// -s base contextCSN

dn: dc=example,dc=com
contextCSN: 20120201193408.178454Z#000000#000#000000

عندما تتوافق المخرجات في المزود والمستهلك (20120201193408.178454Z#000000#000#000000 في المثال السابق) في كلا الجهازين؛ فستكون عملية الاستنساخ قد تمَّت؛ وفي كل مرة يُجرى فيها تعديل في المزود، فإن القيمة ستُعدَّل وكذلك يجب أن تُعدَّل قيمة ناتج الأمر السابق في المستهلك أو المستهلكين.

إذا كان اتصالك ضعيفًا، أو كان حجم قاعدة بيانات ldap كبيرًا، فربما يحتاج contextCSN في المستهلك وقتًا ليطابق مثيله في المزود؛ لكنك تعلم أن العملية قيد الإجراء لأن contextCSN في المستهلك يزداد مع الزمن.

إذا كان contextCSN في المستهلك مفقودًا، أو كان لا يطابق المزود؛ فعليك إيقاف العملية والبحث عن سبب المشكلة قبل الإكمال، جرب التحقق من سجلات slapd‏ (syslog) وملفات auth في المزود للتأكد فيما إذا كانت طلبات الاستيثاق من المستهلك قد نجحت أم لا؛ وفيما إذا أعادت طلبياته للحصول على بيانات (ستشبه عبارات ldapsearch كثيرًا) أيّة أخطاء.

لاختبار إذا كان يعمل؛ جرب طلب DN في قاعدة البيانات في المستهلك:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b dc=example,dc=com dn

يجب أن تشاهد المستخدم «john» والمجموعة «miners» بالإضافة إلى عقدتَيّ «People» و «Groups».

التحكم في الوصول

إدارة أي نوع من الوصول (قراءة، أو كتابة ...إلخ.) التي يجب أن يحصل عليها المستخدمون للموارد تدعى «التحكم في الوصول» (access control)؛ تعليمات الضبط المستخدمة تسمى «قوائم التحكم في الوصول» (access control lists) أو ACL.

عندما نُثبِّت حزمة slapd، فستُضبَط قوائم مختلفة للتحكم في الوصول؛ سنلقي نظرةً على بعض نتائج هذه القيم الافتراضية؛ وسنحصل بذلك على فكرة عن كيفية عمل قوائم التحكم بالوصول وكيفية ضبطها.

لكي نحصل على ACL فعال لطلبية LDAP، فسنحتاج إلى أن ننظر إلى سجلات قوائم التحكم بالوصول لقاعدة البيانات التي تُجرى الطلبيات عليها، بالإضافة إلى واجهة أمامية (frontend) خاصة لقاعدة البيانات؛ قوائم التحكم بالوصول المتعلقة بالنقطة الأخيرة تسلك سلوكًا افتراضيًا في حالة لم تتطابق النقطة الأولى؛ الواجهة الأمامية لقاعدة البيانات هي ثاني ما «تنظر» إليه قوائم التحكم بالوصول؛ وأول ما ستُطبِّقه قوائم التحكم بالوصول هو أول ما سُيطابَق («first match wins») بين مصدرَيّ قوائم التحكم بالوصول السابقَين؛ ستعطي الأوامر الآتية، على التوالي وبالترتيب، قيم ACL لقاعدة بيانات hdb ‏(«dc=example,dc=com») والقيم المتعلقة بالواجهة الأمامية لقاعدة البيانات:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn=config '(olcDatabase={1}hdb)' olcAccess

dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous
              auth by dn="cn=admin,dc=example,dc=com" write by * none
lcAccess:  {1}to dn.base="" by * read
olcAccess: {2}to * by self write by dn="cn=admin,dc=example,dc=com" write by *
              read

ملاحظة: يملك rootDN دائمًا جميع الحقوق لقاعدة بياناته؛ تضمينها في قوائم التحكم بالوصول يوفر توضيحًا للضبط؛ لكنه يؤدي إلى تخفيض في أداء slapd.

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn=config '(olcDatabase={-1}frontend)' olcAccess

dn: olcDatabase={-1}frontend,cn=config
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,
              cn=external,cn=auth manage by * break
olcAccess: {1}to dn.exact="" by * read
olcAccess: {2}to dn.base="cn=Subschema" by * read

أول قائمة تحكم بالوصول هي مهمة ومحورية:

olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous
              auth by dn="cn=admin,dc=example,dc=com" write by * none

يمكن أن يعبر عنها بطريقة أخرى لتسهيل فهمها:

to attrs=userPassword
        by self write
        by anonymous auth
        by dn="cn=admin,dc=example,dc=com" write
        by * none

to attrs=shadowLastChange
        by self write
        by anonymous auth
        by dn="cn=admin,dc=example,dc=com" write
        by * none

تركيبة قوائم التحكم بالوصول (هنالك قاعدتين) تجبر ما يلي:

• الوصول المجهول 'auth' موفر إلى خاصية userPassword لكي يتم الاتصال الابتدائي؛ ربما هذا عكس البديهي، نحتاج إلى 'by anonymous auth' حتى لو لم نكن نريد الوصول المجهول إلى شجرة بيانات الدليل. بعد أن تتصل النهاية البعيدة، فعندها يمكن أن يقع الاستيثاق (انظر النقطة الآتية).
• يمكن أن يحدث الاستيثاق لأن جميع المستخدمين لديهم وصول 'read' (بسبب 'by self write') لخاصية userPassword.
• عدا ذلك، فلا يمكن الوصول إلى خاصية userPassword من أي مستخدمين آخرين؛ مع استثناء rootDN، الذي يملك وصولًا كاملًا إليها.
• لكي يغير المستخدمون كلمات مرورهم، باستخدام passwd أو غيرها من الأدوات، فإن خاصية shadowLastChange يجب أن تكون متاحةً بعد الاستيثاق من المستخدم.

يمكن البحث في شجرة DIT السابقة بسبب 'by * read' في:

to *
        by self write
        by dn="cn=admin,dc=example,dc=com" write
        by * read

إذا لم يكن هذا مرغوبًا فعليك تعديل ACL؛ ولكي يكون الاستيثاق جبريًا أثناء طلب bind، فيمكنك بشكل بديل (أو بالمشاركة مع ACL المعدلة) استخدام التعليمة 'olcRequire: authc'.

وكما ذُكِر سابقًا، لا يوجد حساب إدارة مُنشَأ لقاعدة بيانات slapd-config. لكن هنالك هوية SASL التي تملك الوصول الكامل إليها؛ والتي تمثل root أو sudo؛ ها هي ذا:

dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

سيعرض الأمر الآتي قوائم التحكم بالوصول (ACLs) لقاعدة بيانات slapd-config:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn=config '(olcDatabase={0}config)' olcAccess

dn: olcDatabase={0}config,cn=config
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,
              cn=external,cn=auth manage by * break

ولما كانت هذه هوية SASL، فإننا نحتاج إلى استخدام آلية SASL عندما نستخدم أداة LDAP كما رأينا ذلك للعديد من المرات في هذا الكتاب؛ هذه الآلية خارجية؛ انظر إلى الأمر السابق كمثال، لاحظ أنه:

1. يجب أن تستخدم sudo لكي تصبح بهوية الجذر لكي تطابق قوائم التحكم بالوصول.
2. الآلية الخارجية (EXTERNAL) تعمل باستخدام IPC (مقابل نطاقات UNIX) الذي يعني أنه عليك استخدام صيغة ldapi URI.

طريقة موجزة للحصول على جميع قوائم التحكم بالوصول:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn=config '(olcAccess=*)' olcAccess olcSuffix

هنالك المزيد من الأمور التي يجب الحديث عنها في موضوع التحكم في الوصول؛ راجع صفحة الدليل man slapd.access.

TLS

عند الاستيثاق لخادوم OpenLDAP فمن الأفضل استخدام جلسة مشفرة؛ ويمكن أن يتم ذلك باستخدام أمن طبقة النقل (Transport Layer Security‏ [TLS]).

هنا، سنكون «سلطة الشهادة» (Certificate Authority) الخاصة بنا وبعدها سنُنشِئ ونوقع شهادة خادوم LDAP؛ ولما كان slapd مُصَرَّفًا بمكتبة gnutls، فسنستخدم الأداة certtool لإكمال هذه المهام.

1. ثبت حزمتَيّ gnutls-bin و ssl-cert:

sudo apt-get install gnutls-bin ssl-cert

2. أنشِئ مفتاحًا خاصًا لسلطة الشهادة:

sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"

3. أنشئ الملف/القالب ‎/etc/ssl/ca.info لتعريف سلطة الشهادة:

cn = Example Company
ca
cert_signing_key

4. أنشِئ شهادة سلطة شهادات موقعة ذاتيًا:

sudo certtool --generate-self-signed \
--load-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ca.info \
--outfile /etc/ssl/certs/cacert.pem

5. اصنع مفتاحًا خاصًا للخادوم:

sudo certtool --generate-privkey \
--bits 1024 \
--outfile /etc/ssl/private/ldap01_slapd_key.pem

ملاحظة: استبدل ldap01 في اسم الملف باسم مضيف خادومك؛ ستساعدك تسمية الشهادة والمفتاح للمضيف والخدمة التي تستخدمها في توضيح الأمور.

6. أنشئ ملف المعلومات ‎/etc/ssl/ldap01.info الذي يحتوي:

organization = Example Company
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650

الشهادة السابقة صالحة لعشرة أعوام، عدِّل هذه القيمة وفقًا لمتطلباتك.

7. أنشِئ شهادة الخادوم:

sudo certtool --generate-certificate \
--load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info \
--outfile /etc/ssl/certs/ldap01_slapd_cert.pem

أنشئ الملف certinfo.ldif بالمحتويات الآتية (عدلها وفقًا لمتطلباتك؛ حيث اعتبرت أمثلتنا أن الشهادات مُنشَأة باستخدام https://www.cacert.org):

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

استخدم الأمر ldapmodify لإخبار slapd عن عمل TLS عبر قاعدة بيانات slapd-config:

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif

وعلى النقيض من الاعتقاد الشائع؛ لا تحتاج إلى استخدام ldaps‎://‎ في ‎/etc/default/slapd لكي تستخدم التشفير، كل ما عليك امتلاكه هو:

SLAPD_SERVICES="ldap:/// ldapi:///"

ملاحظة: أصبح LDAP عبر TLS/SSL‏ (dlaps://‎) مهجورًا لتفضيل StartTLS، يشير الأخير إلى جلسة LDAP (تستمع على منفذ TCP ذي الرقم 389) التي تصبح محميةً بواسطة TLS/SSl؛ حيث LDAPS -مثل HTTPS- هو بروتوكول منفصل مشفر منذ البداية (encrypted-from-the-start) الذي يعمل على منفذ TCP ذي الرقم 636.

اضبط الملكية والأذونات:

sudo adduser openldap ssl-cert
sudo chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod g+r /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod o-r /etc/ssl/private/ldap01_slapd_key.pem

أعد تشغيل خدمة OpenLDAP:

sudo service slapd restart

تحقق من سجلات المضيف (‎/var/log/syslog) لترى إن بدأ تشغيل الخادوم بنجاح.

التناسخ و TLS

إذا ضبَطت التناسخ بين الخواديم، فمن الممارسات الشائعة هي تشفير (StartTLS) بيانات النسخ المارة في الشبكة لتفادي التنصت عليها؛ وهذا منفصل عن استخدام التشفير والاستيثاق كما فعلنا سابقًا؛ سنبني في هذا القسم على استيثاق TLS.

سنفترض هنا أنك ضبطت الاستنساخ بين المزود والمستهلك وفقًا للقسم «التناسخ»؛ وضبطت TLS للاستيثاق في المزود وفقًا للقسم «TLS».

وكما ذكر سابقًا؛ هدف التناسخ (بالنسبة لنا) هو أن تكون خدمة LDAP ذات إتاحية كبيرةً؛ ولمّا كنا نستخدم TLS للاستيثاق في المزود فإننا نحتاج إلى نفس الأمر في المستهلك؛ بالإضافة إلى ذلك، نريد أن تكون بيانات الاستنساخ المنقولة مشفرةً، وما بقي ليُفعَل هو إنشاء مفتاح وشهادة للمستهلك ثم الضبط وفقًا لذلك، وسنولد المفتاح/الشهادة في المزود؛ لكي نتجنب إنشاء شهادة أخرى لسلطة الشهادات، ثم سننقل ما يلزمنا إلى المستهلك.

1. في المزود:

أنشِئ مجلدًا (الذي سيستخدم في النقل النهائي)، ثم ولِّد مفتاح المستهلك الخاص:

mkdir ldap02-ssl
cd ldap02-ssl
sudo certtool --generate-privkey \
--bits 1024 \
--outfile ldap02_slapd_key.pem

أنشئ ملف المعلومات ldap02.info للخادوم المستهلك، وعدِّل قيمه وفقًا لمتطلباتك:

organization = Example Company
cn = ldap02.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650

أنشِئ شهادة المستهلك:

sudo certtool --generate-certificate \
--load-privkey ldap02_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem \
--load-ca-privkey /etc/ssl/private/cakey.pem \
--template ldap02.info \
--outfile ldap02_slapd_cert.pem

احصل على نسخة من شهادة سلطة الشهادات:

cp /etc/ssl/certs/cacert.pem .

لقد انتهينا الآن، انقل مجلد ldap02-ssl إلى المستهلك؛ حيث استخدمنا هنا scp (عدّل الأمر وفقًا لمتطلباتك):

cd ..
scp -r ldap02-ssl user@consumer:

2. في المستهلك:

ضبط استيثاق TLS:

sudo apt-get install ssl-cert
sudo adduser openldap ssl-cert
sudo cp ldap02_slapd_cert.pem cacert.pem /etc/ssl/certs
sudo cp ldap02_slapd_key.pem /etc/ssl/private
sudo chgrp ssl-cert /etc/ssl/private/ldap02_slapd_key.pem
sudo chmod g+r /etc/ssl/private/ldap02_slapd_key.pem
sudo chmod o-r /etc/ssl/private/ldap02_slapd_key.pem

أنشئ الملف ‎/etc/ssl/certinfo.ldif وفيه المحتويات الآتية (عدِّلها وفقًا لمتطلباتك):

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap02_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap02_slapd_key.pem

اضبط قاعدة بيانات slapd-config:

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif

اضبط ‎/etc/default/slapd في المزود (SLAPD_SERVICES).

3. في المستهلك:

اضبط TLS للتناسخ من جهة المستهلك، وعدِّل خاصية olcSyncrepl الموجودة مسبقًا بتتبع بعض خيارات TLS؛ وبفعل ذلك، سنرى للمرة الأولى كيف نعدل قيمة خاصية ما.

أنشئ الملف consumer_sync_tls.ldif بالمحتويات الآتية:

dn: olcDatabase={1}hdb,cn=config
replace: olcSyncRepl
olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple
 binddn="cn=admin,dc=example,dc=com" credentials=secret searchbase="dc=example,dc=com"
 logbase="cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))"
 schemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog
 starttls=critical tls_reqcert=demand

الخيارات الإضافية تحدد، على التوالي وبالترتيب، أن على المستهلك استخدام StartTLS وأن شهادة CA مطلوبةٌ للتحقق من هوية المزود، ولاحظ أيضًا صيغة LDIF لتعديل قيم خاصية ما ('replace').

نفِّذ هذه التعديلات:

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f consumer_sync_tls.ldif

ثم أعد تشغيل slapd:

sudo service slapd restart

4. على المزود:

تأكد من أن جلسة TLS قد بدأت؛ وذلك عبر السجل ‎/var/log/syslog، بافتراض أنك أعدت مستوى التسجيل إلى 'conns'، وعليه سترى رسائل شبيهة بالآتي:

slapd[3620]: conn=1047 fd=20 ACCEPT from IP=10.153.107.229:57922 (IP=0.0.0.0:389)
slapd[3620]: conn=1047 op=0 EXT oid=1.3.6.1.4.1.1466.20037
slapd[3620]: conn=1047 op=0 STARTTLS
slapd[3620]: conn=1047 op=0 RESULT oid= err=0 text=
slapd[3620]: conn=1047 fd=20 TLS established tls_ssf=128 ssf=128
slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" method=128
slapd[3620]: conn=1047 op=1 BIND dn="cn=admin,dc=example,dc=com" mech=SIMPLE ssf=0
slapd[3620]: conn=1047 op=1 RESULT tag=97 err=0 text

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: OpenLDAP Server.

البروتوكول الخفيف للوصول للدليل (Lightweight Directory Access Protocol) أو اختصارًا LDAP، هو بروتوكول لطلبيات وتعديل خدمة دليل مبني على X.500 يعمل عبر TCP/IP؛ الإصدارة الحالية من LDAP هي LDAPv3 كما هو معرَّف في RFC45101؛ والبرمجية المستخدمة في أوبنتو لتطبيق LDAPv3 هي OpenLDAP.

هذه هي بعض المصطلحات والمفاهيم الأساسية:

• دليل LDAP هو شجرة من قيود البيانات (entries) التي تكون ذات هيكليّةٍ بطبيعتها، وتسمى شجرة معلومات الدليل (Directory Information Tree‏ [DIT]).
• يتكون القيد من مجموعة من الخاصيات (attributes).
• الخاصية لها نوع (type) يكون اسمًا أو شرحًا؛ وقيمةٌ واحدةٌ أو أكثر.
• يجب أن تُعرِّف كل خاصية ما يسمى objectClass واحدًا على الأقل.
• الخاصيات و objectClasses مُعرَّفةٌ في مخططات (schemas) حيث يُعتبَر objectClass نوعًا خاصًا من الخاصيات.
• لكل قيد معرِّف خاص به هو «الاسم الفريد» (Distinguished Name  أو DN)؛ الذي يحتوي على «الاسم الفريد النسبي» (Relative Distinguished Name‏ [RDN]) متبوعًا بالاسم الفريد للقيد الأب.
• الاسم الفريد للقيد ليس خاصيةً، بل يعتبر جزءًا من القيد نفسه.

ملاحظة: المصطلحات «الكائن» (object)، و«الحاوية» (container)، و«العقدة» (node) لها دلالات خاصة، لكنها أساسيًا تعني «قيد» (entry)؛ لكن «قيد» هو المصطلح الصحيح تقنيًا.

على سبيل المثال، لدينا هنا قيدٌ واحدٌ يحتوي على 11 خاصية:

• اسمه الفريد: «cn=John Doe,dc=example,dc=com»
• واسمه الفريد النسبي (RDN) هو: «cn=John Doe»
• واسم الأب الفريد هو: «dc=example,dc=com»

dn: cn=John Doe,dc=example,dc=com
cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Larry Smith,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top

القيد السابق مكتوب بصيغة LDIF (صيغة تبادل البيانات في LDAP‏ [LDAP Data Interchange Format])؛ أيّة معلومات تضعها في شجرة معلومات الدليل (DIT) يجب أن تكون بهذه الصيغة؛ كما هي معرَّفة في RFC28492.

وعلى الرغم من أن هذا الفصل يستخدم LDAP للاستيثاق المركزي، لكنه يصلح لأي شيء فيه عدد كبير من طلبات الوصول لسندٍ خلفي (backend) تتمحور حول قراءة القيم المبنية على الخاصيات (name:value)؛ تتضمن الأمثلة على ذلك: دفترًا للعناوين، وقائمةً بعناوين البريد الإلكتروني، وضبطًا لخادوم البريد.

التثبيت

لتثبيت عفريت خادوم OpenLDAP مع أدوات إدارة LDAP التقليدية؛ عليك تثبيت حزمتَيّ slapd و ldap-utils على التوالي وبالترتيب.

سيؤدي تثبيت slapd إلى إنشاء ضبط قادر على العمل مباشرةً؛ وخصوصًا إنشاء قاعدة بيانات تستطيع استخدامها لتخزين بياناتك؛ لكن اللاحقة (suffix أو DN الأساسية) ستُحدَّد من اسم نطاق الجهاز المحلي؛ إذا أردت شيئًا مختلفًا، فعدِّل ملف ‎/etc/hosts وبدِّل اسم النطاق باسمٍ ترغب في استخدامه كلاحقة؛ على سبيل المثال، إذا أردت أن تكون اللاحقة هي dc=example,dc=com، فعندها سيحتوي ملف hosts على سطرٍ شبيه بالآتي:

127.0.1.1 hostname.example.com hostname

تستطيع الرجوع إلى الإعدادات القديمة بعد تثبيت الحزمة.

ملاحظة: سنستخدم قاعدة بيانات ذات لاحقة dc=example,dc=com.

أكمل بتثبيت الحزمة:

sudo apt-get install slapd ldap-utils

منذ إصدارة أوبنتو 8.10، صُمِّمَ slapd ليُضبَط داخل slapd نفسه، باستخدام DIT خاصة به لهذا الغرض مما يسمح بأن يُعدَّ slapd ديناميكيًّا دون الحاجة إلى إعادة تشغيل الخدمة؛ وستتكون قاعدة بيانات الضبط من مجموعة من ملفات LDIF النصية الموجودة في المجلد ‎/etc/ldap/slapd.d؛ طريقة العمل هذه معروفةٌ بعدَّة أسماء: طريقة slapd-config، وطريقة RTC‏ (Real Time Configuration)، أو طريقة cn=config؛ ما زلتَ تستطيع استخدام ملف الضبط التقليدي slapd.conf لكن هذه الطريقة غير مستحسنة؛ وستلغى هذه الميزة تدريجيًا.

ملاحظة: تستخدم أوبنتو طريقة slapd-config لضبط slapd، وكذلك هذا الدرس.

سيُطلَب منك أثناء التثبيت تعريف «الأوراق الاعتمادية الإدارية» (administrative credentials)؛ وهي الأوراق الاعتمادية المبنية على LDAP لقاعدة rootDN؛ افتراضيًا، يكون DN للمستخدم هو cn=admin,dc=example, dc=com؛ وأيضًا افتراضيًا لا يُنشَأ حساب إداري لقاعدة بيانات slapd-config؛ لذا عليك الاستيثاق خارجيًا للوصول إلى LDAP وسنرى كيفية فعل ذلك لاحقًا.

تأتي بعض المخططات الكلاسيكية (cosine، و nis، و inetorgperson) افتراضيًا مع slapd هذه الأيام؛ وهنالك أيضًا مخطط «core» المطلوب ليعمل أي مخطط آخر.

ما يجب فعله بعد التثبيت

تُعِدّ عملية التثبيت شجرتين لمعلومات الدليل؛ واحدة لاستخدامها في ضبط slapd‏ (slapd-config) وواحدة لبياناتك الشخصية (dc=example,dc=com)؛ لنلقِ نظرةً.

هذا ما تبدو عليه قاعدة بيانات slapd-config؛ تذكَّر أن هذه القاعدة مبنية على LDIF وموجودة في ‎/etc/ldap/slapd.d:

/etc/ldap/slapd.d/
/etc/ldap/slapd.d/cn=config
/etc/ldap/slapd.d/cn=config/cn=module{0}.ldif
/etc/ldap/slapd.d/cn=config/cn=schema
/etc/ldap/slapd.d/cn=config/cn=schema/cn={0}core.ldif
/etc/ldap/slapd.d/cn=config/cn=schema/cn={1}cosine.ldif
/etc/ldap/slapd.d/cn=config/cn=schema/cn={2}nis.ldif
/etc/ldap/slapd.d/cn=config/cn=schema/cn={3}inetorgperson.ldif
/etc/ldap/slapd.d/cn=config/cn=schema.ldif
/etc/ldap/slapd.d/cn=config/olcBackend={0}hdb.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={-1}frontend.ldif
/etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif
/etc/ldap/slapd.d/cn=config.ldif

ملاحظة: لا تُعدِّل قاعدة بيانات slapd-config مباشرةً، أجرِ التعديلات باستخدام بروتوكول LDAP (عبر الأدوات الخاصة).

وهذا ما تبدو عليه شجرة معلومات الدليل slapd-config عند طلبها بواسطة بروتوكول LDAP:

تنويه: في نسخة خادوم أوبنتو 14.10 وربما ما بعدها، قد لا يعمل الأمر الآتي بسبب علِّة.

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
dn: cn=config
dn: cn=module{0},cn=config
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: olcBackend={0}hdb,cn=config
dn: olcDatabase={-1}frontend,cn=config
dn: olcDatabase={0}config,cn=config
dn: olcDatabase={1}hdb,cn=config

شرح القيود السابقة:

• cn=config: الإعدادات العامة.
• cn=module{0},cn=config: وحدة مُحَمَّلة ديناميكيًا.
• cn=schema,cn=config: يحتوي على مخطط مستوى النظام (hard-coded).
• cn={0}core,cn=schema,cn=config: يحتوي على مخطط الأساس (hard-coded).
• cn={1}cosine,cn=schema,cn=config: المخطط cosine.
• cn={3}inetorgperson,cn=schema,cn=config: المخطط inetorgperson.
• olcBackend={0}hdb,cn=config: نوع تخزين 'hdb'.
• olcDatabase={-1}frontend,cn=config: قاعدة بيانات الواجهة (frontend)، الضبط الافتراضي لقواعد البيانات الأخرى.
• olcDatabase={0}config,cn=config: قاعدة بيانات ضبط slapd ‏(cn=config).
• olcDatabase={1}hdb,cn=config: نسخة قاعدة البيانات الخاصة بك (dc=example,dc=com).

وهذا ما تبدو عليه شجرة معلومات الدليل dc=example,dc=com:

ldapsearch -x -LLL -H ldap:/// -b dc=example,dc=com dn
dn: dc=example,dc=com
dn: cn=admin,dc=example,dc=com

شرح القيود السابقة:

• dc=example,dc=com: أساس DIT.
• cn=admin,dc=example,dc=com: المدير (rootDN) لشجرة معلومات الدليل هذه (ضُبِط أثناء تثبيت الحزمة).

تعديل وملء قاعدة البيانات

لنضع بعض المحتويات في قاعدة البيانات؛ حيث سنضيف الآتي:

• عقدة اسمها People (لتخزين المستخدمين).
• عقدة اسمها Groups (لتخزين المجموعات).
• مجموعة اسمها miners.
• مستخدم اسمه john.

أنشئ ملف LDIF وسَمِّه add_content.ldif:

dn: ou=People,dc=example,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Groups,dc=example,dc=com
objectClass: organizationalUnit
ou: Groups

dn: cn=miners,ou=Groups,dc=example,dc=com
objectClass: posixGroup
cn: miners
gidNumber: 5000

dn: uid=john,ou=People,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: john
sn: Doe
givenName: John
cn: John Doe
displayName: John Doe
uidNumber: 10000
gidNumber: 5000
userPassword: johnldap
gecos: John Doe
loginShell: /bin/bash
homeDirectory: /home/john

ملاحظة: من المهم ألّا تتصادم قيم uid و gid في دليلك مع القيم المحلية؛ استخدم مجالات الأرقام الكبيرة؛ فابدأ مثلًا من 5000، وبتكبير قيم uid و gid في ldap، فإنك تسمح أيضًا بسهولة التحكم في ماذا يستطيع أن يفعله المستخدم المحلي، في مقابل ما يفعله مستخدم ldap؛ سنفصِّل هذا الموضوع لاحقًا.

أضف المحتويات:

ldapadd -x -D cn=admin,dc=example,dc=com -W -f add_content.ldif

Enter LDAP Password: ********
adding new entry "ou=People,dc=example,dc=com"

adding new entry "ou=Groups,dc=example,dc=com"

adding new entry "cn=miners,ou=Groups,dc=example,dc=com"

adding new entry "uid=john,ou=People,dc=example,dc=com"

سنتحقق من إضافة المعلومات إضافةً صحيحةً باستخدام الأداة ldapsearch:

ldapsearch -x -LLL -b dc=example,dc=com 'uid=john' cn gidNumber

dn: uid=john,ou=People,dc=example,dc=com
cn: John Doe
gidNumber: 5000

شرح ماذا حصل:

• ‎-x: ربط بسيط؛ لن تُستخدَم طريقة SASL الافتراضية.
• ‎-LLL: تعطيل طباعة معلوماتٍ إضافيةً.
• uid=john: «مُرَشِّح» (filter) للعثور على المستخدم john.
• cn gidNumber: طلب خاصيات معينة لإظهارها (القيمة الافتراضية هي إظهار جميع الخاصيات).

تعديل قاعدة بيانات slapd

يمكن أن تُطلَب أو تُعدَّل شجرة دليل المعلومات الخاصة بضبط slapd‏ (slapd-config)؛ سنذكر هنا بعض الأمثلة:

استخدم الأمر idapmodify لإضافة «فهرس» (خاصية DbIndex) إلى قاعدة بيانات ‎‎‎{1}hdb,cn=config‎ (التي هي dc=example,dc=com)؛ أنشِئ ملفًا اسمه uid_index.ldif فيه المحتويات الآتية:

dn: olcDatabase={1}hdb,cn=config
add: olcDbIndex
olcDbIndex: uid eq,pres,sub

ثم نفِّذ الأمر:

sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f uid_index.ldif

modifying entry "olcDatabase={1}hdb,cn=config"

تستطيع تأكيد التغيير بهذه الطريقة:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn=config '(olcDatabase={1}hdb)' olcDbIndex

dn: olcDatabase={1}hdb,cn=config
olcDbIndex: objectClass eq
olcDbIndex: uid eq,pres,sub

لنضف الآن مخططًا (schema)، يجب أولًا أن تحوَّل إلى صيغة LDIF؛ تستطيع إيجاد مخططات مُحوَّلة، وغير مُحوَّلة في مجلد ‎/etc/ldap/schema.

ملاحظة: حذف المخططات من قاعدة بيانات slapd-config ليس أمرًا بسيطًا؛ تدرب على إضافة المخططات على نظام خاص بالتجارب.

قبل إضافة أيّة مخططات، يجب أن تتحقق من أيّة مخططات قد ثبِّتَت مسبقًا (المخرجات الآتية هي المخرجات الافتراضية [out-of-the-box]):

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \

cn=schema,cn=config dn
dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

سنضيف مخطط CORBA في المثال الآتي:

1. أنشِئ ملف ضبط التحويل المسمى schema_convert.conf يتضمن الأسطر الآتية:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/ldapns.schema
include /etc/ldap/schema/pmi.schema

2. أنشِئ مجلد المخرجات ldif_output.

3. حدد فهرس المخطط:

slapcat -f schema_convert.conf -F ldif_output -n 0 | grep corba,cn=schema

cn={1}corba,cn=schema,cn=config

ملاحظة: عندما «يحقن» (injects) ‏slapd الكائنات‏ التي لها نفس الاسم الفريد للأب؛ فإنه سيُنشِئ فهرسًا لهذا الكائن؛ ويحتوى الفهرس ضمن قوسين معقوفين: {X}.

4. استخدم slapcat للقيام بالتحويل:

slapcat -f schema_convert.conf -F ldif_output -n0 -H \

ldap:///cn={1}corba,cn=schema,cn=config -l cn=corba.ldif

المخطط المحوّل موجودٌ الآن في cn=corba.ldif.

5. عدِّل cn=corba.ldif حتى تصل إلى الخاصيات الآتية:

dn: cn=corba,cn=schema,cn=config

...

cn: corba

أزل الآن الأسطر الآتية من النهاية:

structuralObjectClass: olcSchemaConfig
entryUUID: 52109a02-66ab-1030-8be2-bbf166230478
creatorsName: cn=config
createTimestamp: 20110829165435Z
entryCSN: 20110829165435.935248Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110829165435Z

قد تختلف قيم الخاصيات عندك.

6. في النهاية، استخدم ldapadd لإضافة مخطط جديد إلى شجرة معلومات دليل slapd-config:

sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f cn\=corba.ldif

adding new entry "cn=corba,cn=schema,cn=config"

7. تأكد من المخططات المُحَمَّلة:

sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config dn

dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: cn={4}corba,cn=schema,cn=config

ملاحظة: لكي يستوثق العملاء والتطبيقات الخارجية باستخدام LDAP، فإن عليك ضبط كل واحد منهم ليفعل ذلك؛ راجع توثيق تلك العملاء لمعلومات ملائمة عنهم.

التسجيل (Logging)

لا غنى عن تفعيل تسجيل slapd عند استخدام تطبيقات تعتمد على OpenLDAP، لكن عليك تفعيله يدويًا بعد تثبيت البرمجيات؛ وإذا لم تفعل ذلك، فستظهر رسائل بدائية غير مفيدة فقط في السجلات؛ ويُفعَّل التسجيل، كغيره من ضبط slapd، عبر قاعدة بيانات slapd-config.

يأتي OpenLDAP مع عدّة أنظمة فرعية للتسجيل (مستويات)، تحتوي كلٌ منها على المستوى الأدنى منها؛ مستوى جيد للتجربة هو stats؛ هنالك المزيد من المعلومات حول الأنظمة الفرعية المختلفة في صفحة دليل man slapd-config.

أنشِئ ملف logging.ldif بالمحتويات الآتية:

dn: cn=config
changetype: modify
add: olcLogLevel
olcLogLevel: stats

طبِّق التعديل:

sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f logging.ldif

وهذا ما سيُنتِج كميّةً كبيرةً من السجلات؛ وربما تحتاج للعودة وتقليل درجة الإسهاب عندما يصبح نظامك نظامًا إنتاجيًا (in production)، لكن ربما يجعل ضبط الإسهاب هذا محرك syslog في نظامك يعاني من كثرة الرسائل، وقد يتجاوز بعضها دون تسجيله:

rsyslogd-2177: imuxsock lost 228 messages from pid 2547 due to rate-limiting

قد تفكر في تغيير ضبط rsyslog؛ ضع في ملف ‎/etc/rsyslog.conf:

# Disable rate limiting
# (default is 200 messages in 5 seconds; below we make the 5 become 0)
$SystemLogRateLimitInterval 0

ثم أعد تشغيل عفريت rsyslog:

sudo service rsyslog restart

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: OpenLDAP Server.

إن Zentyal هو خادوم لينُكس صغير موجَّه للأعمال (business server)، يمكن أن يُضبَط كبوابة، أو مدير بنى تحتية، أو «مدير تهديد موحد» (Unified Threat Manager)، أو خادوم مكتبي، أو خادوم اتصالات موحد، أو تجميعٌ مما سبق؛ جميع الخدمات الشبكية المُدارة من Zentyal تندمج مع بعضها اندماجًا كبيرًا، مؤتمِتًا معظم المهام، مما يساعد في تلافي الأخطاء في ضبط الشبكة والإدارة، ويسمح بتقليل الوقت اللازم لضبط البرمجيات؛ Zentyal هو برمجية مفتوحة المصدر، ومنشورة وفق رخصة غنو العمومية (GPL) وتعتمد على أوبنتو كأساسٍ لها.

تتضمن Zentyal سلسلةً من الحزم (حزمةٌ واحدةٌ عادةً لكل وحدة [module]) التي توفر واجهة ويب لضبط مختلف الخواديم أو الخدمات؛ ويُخزَّن الضبط في قاعدة بيانات Redis على نمط «مفتاح-قيمة»؛ لكن ضبط المستخدمين والمجموعات، والنطاقات (domains) يكون مبنيًا على OpenLDAP؛ وعندما تُضبَط أيّة خاصيات ضمن واجهة الويب، فستُعاد كتابة ملفات الإعدادات باستخدام قوالب ضبط مُوفَّرة من الوحدات؛ الميزة الأساسية من استخدام Zentyal هو واجهة رسومية موحدة لضبط جميع خدمات الشبكة مع دمجٍ ذي مستوىً عالٍ مع بعضها بعضًا.

التثبيت

تتوفر إصدارة Zentyal 2.3 في مستودع Universe في أوبنتو 12.04؛ الوحدات المتوفرة هي:

• zentyal-core و zentyal-common: أساس واجهة Zentyal والمكتبات الشائعة لإطار العمل؛ وتتضمن أيضًا السجلات (logs) ووحدات الأحداث (events modules) التي تعطي مدير النظام واجهة لمشاهدة السجلات، وتوليد أحداث منها.
• zentyal-network: إدارة إعدادات الشبكة، من البطاقات (داعمةً عناوين IP الثابتة، أو DHCP، أو VLAN، أوالجسور، أو PPPoE)، إلى البوابات المتعددة عندما يكون هنالك أكثر من اتصال بالإنترنت؛ وموازنة الحِمل والتوجيه المتقدم، وجداول التوجيه الثابتة، و DNS الديناميكي.
• zentyal-objects و zentyal-services: توفير طبقة تجريدية (abstraction level) لعناوين الشبكة (على سبيل المثال، LAN بدلًا من 192.168.1.0/24) والمنافذ مسماةً على أسماء خدماتها (مثلًا، HTTP بدلًا من80/TCP).
• zentyal-firewall: ضبط قواعد iptables لحجب الاتصالات الممنوعة، واستخدام NAT وإعادة توجيه المنافذ.
• zentyal-ntp: تثبيت عفريت NTP لإبقاء ساعة الخادوم صحيحةً، وللسماح بعملاء الشبكة بمزامنة ساعاتهم مع ساعة الخادوم.
• zentyal-dhcp: ضبط خادوم ISC DHCP الذي يدعم مجالات الشبكة، وزمن «التأجير» الثابت، وغيرها من الخيارات المتقدمة مثل NTP، و WINS، و DNS الديناميكي، وإقلاع الشبكة مع PXE.
• zentyal-dns: إعداد خادوم ISC Bind9 على جهازك مع إمكانية التخزين المؤقت للطلبيات المحلية، أو كمُمرِّر، أو كخادوم استيثاق للنطاقات المضبوطة؛ ويسمح بضبط A، و CNAME، و MX، و NS، و TXT، وسجلات SRV.
• zentyal-ca: تضمين إدارة «سلطة الشهادات» (Certification Authority) مع Zentyal كي يتمكن المستخدمون من استخدام الشهادات للاستيثاق مع الخدمات، مثل OpenVPN.
• zentyal-openvpn: السماح بضبط عدة خواديم وعملاء VPN باستخدام OpenVPN مع ضبط ديناميكي للتوجيه باستخدام Quagga.
• zentyal-users: توفير واجهة لضبط وإدارة المستخدمين والمجموعات في OpenLDAP؛ الخدمات الأخرى في Zentyal تَستوثِق من المستخدمين باستخدام LDAP، مما يؤدي إلى وجود آلية مركزية لإدارة المستخدمين والمجموعات؛ من الممكن أيضًا مزامنة المستخدمين، وكلمات المرور، والمجموعات من خادوم Microsoft Active Directory.
• zentyal-squid: ضبط خدمتَيّ Squid و Dansguardian لتسريع التصفح، ويعود الفضل في ذلك إلى إمكانيات التخزين المؤقت وترشيح المحتوى.
• zentyal-samba: تسمح هذه الوحدة بضبط سامبا ودمجه مع ضبط LDAP موجود مسبقًا؛ ومن نفس الوحدة تستطيع تعريف سياسات لكلمات المرور، وإنشاء موارد مشتركة، وإسناد الأذونات.
• zentyal-printers: دمج CUPS مع سامبا والسماح، ليس فقط بضبط الطابعات، بل وإعطائها الأذونات بالاعتماد على مستخدمي ومجموعات LDAP.

لتثبيت Zentyal، افتح الطرفية في الخادوم واكتب (حيث <zentyal-module> هو اسم أحد الوحدات السابقة):

sudo apt-get install <zentyal-module>

ملاحظة: يُصدِر Zentyal إصدارًا واحدًا ثابتًا رئيسيًا في السنة (في أيلول/سبتمبر) مبنيٌ على آخر إصدارة أوبنتو طويلة الدعم (LTS)؛ يكون للإصدارات الثابتة أرقام رئيسية زوجية (مثلًا، 2.2، أو 3.0) والإصدارات التجريبية تكون أرقامها الرئيسية فردية (مثلًا 2.1، و 2.3)؛ تأتي أوبنتو 12.04 مع Zentyal بإصدار 2.3؛ إذا أردت الترقية إلى إصدارة ثابتة جديدة نُشِرَت بعد إصدار أوبنتو 12.04، فيمكنك استخدام «Zentyal Team PPA»؛ قد توفر لك الترقية إلى الإصدارات الثابتة تصحيحات لعللٍ لم تصل إلى الإصدار 2.3 الموجود في أوبنتو 12.04.

تنويه: إذا أردت المزيد من المعلومات حول إضافة الحزم من PPA؛ فراجع مقالة الويكي «Add a Personal Pachage Archive PPA».

ملاحظة: تستطيع إيجاد الحزم الآتية في Zentyal Team PPA، لكن ليس في مستودعات Universe في أوبنتو:

• zentyal-antivirus: تضمين مضاد الفيروسات ClamAV مع وحدات أخرى مثل الخادوم الوسيط (proxy) ومشاركة الملفات، أو mailfilter.
• zentyal-asterisk: ضبط Asterisk لتوفير PBX بسيط مبني على الاستيثاق بواسطة LDAP.
• zentyal-bwmonitor: السماح بمراقبة استهلاك التراسل الشبكي من قِبَل عملاء شبكتك المحلية.
• zentyal-captiveportal: تضمين «captive portal» مع الجدار الناري، ومستخدمي ومجموعات LDAP.
• zentyal-ebackup: السماح بإنشاء نسخ احتياطية مجدولة على خادومك باستخدام أداة النسخ الاحتياطي الشهيرة «duplicity».
• zentyal-ftp: ضبط خادوم FTP مع استيثاق مبني على LDAP.
• zentyal-ids: تضمين نظام اكتشاف التطفل في الشبكة.
• zentyal-ipsec: السماح بضبط أنفاق IPsec باستخدام OpenSwan.
• zentyal-jabber: تضمين خادوم XMPP مع مستخدمي ومجموعات LDAP.
• zentyal-thinclients: حل يعتمد على عملاء «رقيقين» (thin clients) مبني على LTSP.
• zentyal-mail: تشكيلة خدمات البريد الإلكتروني كاملة، بما فيها Postfix و Dovecot مع خلفية LDAP.
• zentyal-mailfilter: ضبط amavisd مع خدمات البريد الإلكتروني لترشيح الرسائل العشوائية (spam) والفيروسات المرفقة بالرسائل.
• zentyal-monitor: تضمين collectd لمراقبة أداء الخادوم والخدمات التي تعمل.
• zentyal-pptp: ضبط خادوم PPTP VPN.
• zentyal-raduis: تضمين FreeRADIUS مع مستخدمي ومجموعات LDAP.
• zentyal-software: واجهة بسيطة لإدارة وحدات Zentyal المثبتة، وتحديثات النظام.
• zentyal-trafficshaping: ضبط قواعد الحد من مرور البيانات للتضييق على التراسل الشبكي، وتحسين زمن التأخير (latency).
• zentyal-usercorner: السماح للمستخدمين بتعديل خاصيات LDAP الخاصة بهم باستخدام متصفح ويب.
• zentyal-virt: واجهة بسيطة لإنشاء وإدارة الأنظمة الوهمية المبنية على libvirt.
• zentyal-webmail: السماح بالوصول لبريدك عبر خدمة Roundcube webmail الشهيرة.
• zentyal-webserver: ضبط خادوم ويب أباتشي لاستضافة مختلف المواقع على جهازك.
• zentyal-zarafa: تضمين مجموعة Zarafa مع مجموعة Zentyal للبريد و LDAP.

الخطوات الأولى

يُسمَح لأي حساب في النظام ينتمي للمجموعة sudo بتسجيل الدخول إلى واجهة Zentyal؛ إذا كنت تستخدم حساب المستخدم المُنشَأ أثناء التثبيت؛ فيجب أن يكون افتراضيًا في مجموعة sudo.

تنويه: إذا كنت تستخدم مستخدمًا آخرَ لا ينتمي للمجموعة sudo، فنفِّذ الأمر:

sudo adduser username sudo

للوصول إلى واجهة الويب (Zentyal)، فتوجه إلى https://localhost/‎ (أو عنوان IP للخادوم البعيد)، ولأن Zentyal يستخدم شهادة SSL موقّعة ذاتيًا، فعليك إضافة استثناء له في متصفحك.

ستشاهد لوحة التحكم (dashboard) بعد تسجيل الدخول، مع لمحة عن خادومك؛ لضبط أيّة خاصية من خاصيات الوحدات المثبتة، فاذهب إلى الأقسام المختلفة في القائمة التي على اليسار؛ عندما تعدل أيّة تعديلات، فسيظهر زر أحمر مكتوب عليه «Save changes»، الذي عليك الضغط عليه لحفظ كل تعديلات الضبط؛ لتطبيق هذه التعديلات على خادومك، فيجب أن تفعَّل الوحدة أولًا، وذلك من قيد «Module Status» على القائمة اليسرى؛ في كل مرة ستُفعِّل فيها وحدةً، فستظهر رسالة تطلب تأكيدك للقيام بالأفعال الضرورية، والتعديلات على خادومك وملفات ضبطه.

ملاحظة: إذا أردت تخصيص أي ملف ضبط لتنفيذ أفعال معينة (سكربتات أو أوامر) لضبط ميزات غير متوفرة في Zentyal، فضع قوالب ملفات الضبط المخصصة في ‎/etc/zentyal/stubs/<module>‎/‎ و «hooks» في ‎/etc/zentyal/hooks/<module>.<action>‎‎.

مصادر

• صفحة توثيق Zentyal الرسمية.
• راجع أيضًا صفحة توثيق Zentyal الموفرة من المجتمع.
• لا تنسَ أيضًا زيادة المنتدى لدعم المجتمع، والتعقيبات، وطلبات الميزات ...إلخ

ترجمة -وبتصرف- للمقال: Ubuntu Server Guide: Zentyal.

إن بروتوكول NTP هو بروتوكول TCP/IP، يُستخدَم لمزامنة الوقت عبر الشبكة؛ بكلماتٍ بسيطة: يطلب العميل الوقت الحالي من الخادوم ثم يستخدمه لمزامنة ساعته الداخلية.

هنالك الكثير من التعقيدات خلف هذا التفسير البسيط، فهنالك درجات من خواديم NTP؛ فالدرجة الأولى من خواديم NTP تتصل بساعات ذريّة (atomic clock)، والدرجة الثانية والثالثة من الخواديم تُوزِّع الحِمل عبر الإنترنت؛ وحتى برمجية العميل هي برمجية معقدة أكثر بكثير مما تظن، فهنالك عامل لأخذ التأخير في الاتصالات بعين الاعتبار، وتعديل الوقت في طريقة لا تُفسِد وظيفة جميع العمليات التي تعمل في الخادوم؛ ولحسن الحظ أنَّ كل هذا التعقيد مخفيٌ عنك!

تستخدم أوبنتو ntpdate، و ntpd.

الأداة ntpdate

يأتي أوبنتو افتراضيًا مع الأداة ntpdate، وستعمل عند الإقلاع لتضبط وقتك وفقًا لخادوم NTP الخاص بأوبنتو:

ntpdate -s ntp.ubuntu.com

عفريت ntpd

يحسب عفريت ntp الانزياح في ساعة وقت النظام، ويعدِّلها باستمرار، لذلك لن يكون هنالك تصحيحات كبيرة ستؤدي إلى اختلال في السجلات (logs) على سبيل المثال. لكن سيكون ثمن ذلك هو القليل من طاقة المعالجة والذاكرة، ولكن هذا لا يُذكَر بالنسبة إلى الخواديم الحديثة.

التثبيت

لتثبيت ntpd، أدخل الأمر الآتي إلى الطرفية:

sudo apt-get install ntp

الضبط

عدِّل الملف ‎ /etc/ntp.confلإضافة أو إزالة الأسطر التي تحتوي على عناوين الخواديم، تُضبَط هذه الخواديم افتراضيًا:

# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board
# on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for
# more information.
server 0.ubuntu.pool.ntp.org
server 1.ubuntu.pool.ntp.org
server 2.ubuntu.pool.ntp.org
server 3.ubuntu.pool.ntp.org

بعد تعديل ملف الضبط، عليك إعادة تحميل ntpd:

sudo service ntp reload

مشاهدة الحالة

استخدم الأمر ntpq لرؤية المزيد من المعلومات:

sudo ntpq -p

     remote           refid      st t when poll reach   delay   offset   jitter
================================================================================
+stratum2-2.NTP.  129.70.130.70  2  u    5   64   377   68.461  -44.274  110.334
+ntp2.m-online.n  212.18.1.106   2  u    5   64   377   54.629  -27.318  78.882
*145.253.66.170   .DCFa.         1  u   10   64   377   83.607  -30.159  68.343
+stratum2-3.NTP.  129.70.130.70  2  u    5   64   357   68.795  -68.168  104.612
+europium.canoni  193.79.237.14  2  u   63   64   337   81.534  -67.968  92.792

مصادر

• راجع صفحة الويكي «Ubuntu Time» لمزيد من المعلومات.
• موقع ntp.org: الموقع الرسمي لمشروع بروتوكول وقت الشبكة.

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Time Synchronisation with NTP.

إن بروتوكول ضبط المضيف ديناميكيًّا (Dynamic Host Configuration Protocol) هو خدمة شبكة تُفعِّل إسناد إعدادات الشبكة إلى الحواسيب المضيفة من خادوم بدلًا من إعداد كل مضيف شبكي يدويًا؛ حيث لا تملك الحواسيب المُعدَّة كعملاءٍ لخدمة DHCP أيّة تحكم بالإعدادات التي تحصل عليها من خادوم DHCP.

إن أشهر الإعدادات الموفَّرة من خادوم DHCP إلى عملاء DHCP تتضمن:

• عنوان IP وقناع الشبكة.
• عنوان IP للبوابة الافتراضية التي يجب استخدامها.
• عناوين IP لخواديم DNS التي يجب استعمالها.

لكن يمكن أيضًا أن يوفِّر خادوم DHCP خاصيات الضبط الآتية:

• اسم المضيف.
• اسم النطاق.
• خادوم الوقت.
• خادوم الطباعة.

من مزايا استخدام DHCP هو أن أي تغييرٍ في إعدادات الشبكة -على سبيل المثال تغيير عنوان خادوم DNS- سيتم في خادوم DHCP فقط، وسيُعاد ضبط جميع مضيفي الشبكة في المرة القادمة التي سيَطلُبُ فيها عملاء DHCP معلومات الإعدادات من خادوم DHCP؛ ويُسهِّل استعمال خادوم DHCP إضافة حواسيب جديدة إلى الشبكة، فلا حاجة للتحقق من توفر عنوان IP؛ وسيقل أيضًا التضارب في حجز عناوين IP.

يمكن أن يُوفِّر خادوم DHCP إعدادات الضبط باستخدام الطرق الآتية:

التوزيع اليدوي (Manual allocation) عبر عنوان MAC

تتضمن هذه الطريقة استخدام DHCP للتعرف على عنوان مميز لعتاد كل كرت شبكة متصل إلى الشبكة، ثم سيوفِّر إعدادات ضبطٍ ثابتةً في كل مرة يتصل فيها عميل DHCP إلى خادوم DHCP باستخدام بطاقة الشبكة المعيّنة مسبقًا؛ وهذا يضمن أن يُسنَد عنوان معيّن إلى بطاقةٍ شبكيّةٍ معيّنة وذلك وفقًا لعنوان MAC.

التوزيع الديناميكي (Dynamic allocation)

سيُسنِد خادوم DHCP -في هذه الطريقة- عنوان IP من مجموعة من العناوين (تسمى pool، أو في بعض الأحيان range أو scope) لمدة من الزمن (يسمى ذلك بالمصطلح lease) التي تُضبَط في الخادوم، أو حتى يخبر العميل الخادوم أنه لم يعد بحاجةٍ للعنوان بعد الآن؛ وسيحصل العملاء في هذه الطريقة على خصائص الضبط ديناميكيًّا وفق المبدأ «الذي يأتي أولًا، يُخدَّم أولًا»؛ وعندما لا يكون عميل DHCP متواجدًا على الشبكة لفترة محددة، فسينتهي وقت الضبط المخصص له، وسيعود العنوان المسند إليه إلى مجموعة العناوين لاستخدامه من عملاء DHCP الآخرين؛ أي أنَّه في هذه الطريقة، يمكن «تأجير» أو استخدام العنوان لفترة من الزمن؛ وبعد هذه المدة، يجب أن يطلب العميل من الخادوم أن يعيد تأجيره إياه.

التوزيع التلقائي (Automatic allocation)

سيُسنِد خادوم DHCP -في هذه الطريقة- عنوان IP إسنادًا دائمًا إلى جهاز معين، ويتم اختيار هذه العنوان من مجموعة العناوين المتوفرة؛ يُضبَط عادةً DHCP لكي يُسنِد عنوانًا مؤقتًا إلى الخادوم، لكن يمكن أن يسمح خادوم DHCP بزمن تأجير «لا نهائي».

يمكن اعتبار آخر طريقتين «تلقائيتَين»، ﻷنه في كل حالة يُسنِد خادوم DHCP العنوان دون تدخل إضافي مباشر، الفرق الوحيد بينهما هو مدة تأجير عنوان IP؛ بكلماتٍ أخرى، هل ستنتهي صلاحية عنوان العميل بعد فترة من الزمن أم لا.

يأتي أوبنتو مع خادوم وعميل DHCP، الخادوم هو dhcpd‏ (dynamic host configuration protocol daemon)، والعميل الذي يأتي مع أوبنتو هو dhclient، ويجب أن يثبَّت على جميع الحواسيب التي تريدها أن تُعَدّ تلقائيًا، كلا البرنامجين سهلُ التثبيت، وسيبدآن تلقائيًا عند إقلاع النظام.

التثبيت

اكتب الأمر الآتي في مِحَث الطرفية لتثبيت dhcpd:

sudo apt-get install isc-dhcp-server

ربما تحتاج إلى تغيير الضبط الافتراضي بتعديل ملف ‎/etc/dhcp/dhcpd.conf ليلائم احتياجاتك والضبط الخاص الذي تريده.

ربما تحتاج أيضًا إلى تعديل ‎/etc/default/isc-dhcp-server لتحديد البطاقات الشبكية التي يجب أن «يستمع» (listen) إليها عفريت dhcpd.

ملاحظة: رسالة عفريت dhcpd تُرسَل إلى syslog، انظر هناك لرسائل التشخيص.

الضبط

ربما سيربكك ظهور رسالة خطأ عند انتهاء التثبيت، لكن الخطوات الآتية ستساعدك في ضبط الخدمة:

في الحالات الأكثر شيوعًا، كل ما تريد أن تفعله هو إسناد عناوين IP إسنادًا عشوائيًا، يمكن أن يُفعَل ذلك بالإعدادات الآتية:

# minimal sample /etc/dhcp/dhcpd.conf
default-lease-time 600;
max-lease-time 7200;

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.150 192.168.1.200;
  option routers 192.168.1.254;
  option domain-name-servers 192.168.1.1, 192.168.1.2;
  option domain-name "mydomain.example";
}

نتيجة الإعدادات السابقة هي ضبط خادوم DHCP لإعطاء العملاء عناوين IP تتراوح من 192.168.1.150 إلى 192.168.1.200، وسيُأجَّر عنوان IP لمدة 600 ثانية إذا لم يطلب العميل وقتًا محددًا؛ عدا ذلك، فسيكون وقت الإيجار الأقصى للعنوان هو 7200 ثانية؛ و«سينصح» الخادومُ العميلَ أن يستخدم 192.168.1.254 كبوابة افتراضية، و 192.168.1.1 و 192.168.1.2 كخادومَيّ DNS.

عليك إعادة تشغيل خدمة dhcpd بعد تعديل ملف الضبط:

sudo service isc-dhcp-server restart

مصادر

• توجد بعض المعلومات المفيدة في صفحة ويكي أوبنتو «dhcp3-server».
• للمزيد من خيارات ملف ‎/etc/dhcp/dhcpd.conf، راجع صفحة الدليل man dhcpd.conf.
• مقالة في ISC:‏ «dhcp-server».

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Dynamic Host Configuration Protocol - DHCP.

حقوق الصورة البارزة: Designed by Freepik.

إن بروتوكول التحكم في نقل البيانات (Transmission Control Protocol) وبروتوكول الإنترنت (Internet Protocol) المسمى اختصارًا TCP/IP هو معيار يضم مجموعة بروتوكولاتٍ مطورةً في نهاية السبعينات من القرن الماضي من وكالة مشاريع أبحاث الدفاع المتقدمة (Defense Advanced Research Projects Agency‏ [DARPA])، كطرق للتواصل بين مختلف أنواع الحواسيب وشبكات الحواسيب؛ إن بروتوكول TCP/IP هو العصب المحرك للإنترنت، وهذا ما يجعله أشهر مجموعة بروتوكولات شبكيّة على وجه الأرض.

TCP/IP

المكونان الرئيسيان من مكونات TCP/IP يتعاملان مع مختلف نواحي شبكة الحاسوب؛ بروتوكول الإنترنت -جزء «IP» من TCP/IP- هو بروتوكول عديم الاتصال (connectionless) يتعامل مع طريقة توجيه (routing) الرزم الشبكية مستخدمًا ما يسمى «IP Datagram» كوحدة رئيسية للمعلومات الشبكية؛ تتكون IP Datagram من ترويسة، يتبعها رسالة. إن بروتوكول التحكم في نقل البيانات هو «TCP» من TCP/IP، ويُمكِّن مضيفي الشبكة من إنشاء اتصالاتٍ يستطيعون استخدامها لتبادل مجاري البيانات (data streams)؛ ويَضمَن أيضًا بروتوكول TCP أن البيانات التي أُرسِلَت بواسطة تلك الاتصالات ستُسَلَّم وتصل إلى مضيف الشبكة المُستقبِل كما أُرسِلَت تمامًا وبنفس الترتيب من المُرسِل.

دورة علوم الحاسوب

دورة تدريبية متكاملة تضعك على بوابة الاحتراف في تعلم أساسيات البرمجة وعلوم الحاسوب

اشترك الآن

ضبط TCP/IP

يتكون ضبط TCP/IP من عدِّة عناصر التي يمكن أن تُغيَّر بتعديل ملفات الإعدادات الملائمة، أو باستخدام حلول مثل خادوم «بروتوكول ضبط المضيف الديناميكي» (Dynamic Host Configuration Protocol‏ [DHCP])، الذي يمكن أن يُضبَط لتوفير إعدادات TCP/IP صالحة لعملاء الشبكة تلقائيًا، يجب أن تُضبط قيم تلك الإعدادات ضبطًا صحيحًا لكي تساعد في عمل الشبكة عملًا سليمًا في نظام أوبنتو عندك.

عناصر الضبط الخاصة ببروتوكول TCP/IP ومعانيها هي:

• عنوان IP: هو سلسة نصية فريدة يُعبَّر عنها بأربع مجموعات من أرقام تتراوح بين الصفر (0)، ومئتان وخمسٌ وخمسون (255)، مفصولةٌ بنقط، وكل أربعة أرقام تمثل ثمانية (8) بتات من العنوان الذي يكون طوله الكامل اثنان وثلاثون (32) بتًا، تُسمى هذه الصيغة باسم «dotted quad notation».

• قناع الشبكة: قناع الشبكة الفرعية (أو باختصار: قناع الشبكة [netmask])، هو قناع ثنائي يفصل قسم عنوان IP المهم للشبكة، عن قسم العنوان المهم للشبكة الفرعية (Subnetwork)؛ على سبيل المثال، في شبكة ذات الفئة C‏ (Class C network)، قناع الشبكة الافتراضي هو 255.255.255.0، الذي يحجز أول ثلاثة بايتات من عنوان IP للشبكة، ويسمح لآخر بايت من عنوان IP أن يبقى متاحًا لتحديد المضيفين على الشبكة الفرعية.

• عنوان الشبكة: يمثل عنوان الشبكة (Network Address) البايتات اللازمة لتمثيل الجزء الخاص من الشبكة من عنوان IP، على سبيل المثال، المضيف صاحب العنوان 12.128.1.2 في شبكة ذات الفئة A يستطيع استخدام 12.0.0.0 كعنوان الشبكة، حيث يمثل الرقم 12 البايت الأول من عنوان IP (جزء الشبكة)، وبقية الأصفار في البايتات الثلاثة المتبقية تمثل قيم مضيفين محتملين في الشبكة؛ وفي مضيف شبكة يستخدم عنوان IP الخاص 192.168.1.100 الذي يستخدم بدوره عنوان الشبكة 192.168.1.0 الذي يحدد أول ثلاثة بايتات من شبكة ذات الفئة C والتي هي 192.168.1، وصفرًا الذي يُمثِّل جميع القيم المحتملة للمضيفين على الشبكة.

• عنوان البث: عنوان البث (Broadcast Address) هو عنوان IP يسمح لبيانات الشبكة بأن تُرسَل إلى كل المضيفين معًا في شبكة محلية بدلًا من إرسالها لمضيف محدد. العنوان القياسي العام للبث لشبكات IP هو 255.255.255.255، لكن لا يمكن استخدام هذا العنوان لبث الرسائل لكل مضيف على شبكة الإنترنت، لأن الموجهات (routers) تحجبها؛ ومن الملائم أن يُضبَط عنوان البث لمطابقة شبكة فرعية محددة، على سبيل المثال، في شبكة خاصة ذات الفئة C،‏ أي 192.168.1.0، يكون عنوان البث 192.168.1.255؛ تُولَّد رسائل البث عادةً من بروتوكولات شبكيّة مثل بروتوكول استبيان العناوين (Address Resolution Protocol‏ [ARP])، وبروتوكول معلومات التوجيه (Routing Information Protocol‏ [RIP]).

• عنوان البوابة: إن عنوان البوابة (Gateway Address) هو عنوان IP الذي يمكن الوصول عبره إلى شبكة معينة أو إلى مضيف معين على شبكة؛ فإذا أراد أحد مضيفي الشبكة التواصل مع مضيفٍ آخر، ولكن المضيف الآخر ليس على نفس الشبكة، فيجب عندئذٍ استخدام البوابة؛ في حالات عديدة، يكون عنوان البوابة في شبكةٍ ما هو الموجه (router) على تلك الشبكة، الذي بدوره يُمرِّر البيانات إلى بقية الشبكات أو المضيفين كمضيفي الإنترنت على سبيل المثال. يجب أن تكون قيمة عنوان البوابة صحيحةً، وإلا فلن يستطيع نظامك الوصول إلى أي مضيف خارج حدود شبكته نفسها.

• عنوان خادوم الأسماء: عناوين خادوم الأسماء (Nameserver Addresses) تمثل عناوين IP لخواديم خدمة أسماء المضيفين DNS، التي تستطيع استبيان (resolve) أسماء مضيفي الشبكة وتحويلها إلى عناوين IP؛ هنالك ثلاث طبقات من عناوين خادوم الأسماء، التي يمكن أن تُحدَّد بترتيب استخدامها: خادوم الأسماء الرئيسي (Primary)، وخادوم الأسماء الثانوي (Secondary)، وخادوم الأسماء الثلاثي (Tertiary)، ولكي يستطيع نظامك استبيان أسماء أسماء مضيفي الشبكة وتحويلها إلى عناوين IP الموافقة لهم، فيجب عليك تحديد عناوين خادوم الأسماء الذي تثق به لاستخدامه في ضبط TCP/IP لنظامك؛ في حالاتٍ عديدة، تُوفَّر هذه العناوين من موزع خدمة شبكتك، لكن هنالك خواديم أسماء عديدة متوفرة مجانًا للعموم، كخواديم Level3‏ (Verizon) بعناوين IP تتراوح بين 4.2.2.1 إلى 4.2.2.6.

تنبيه: إن عنوان IP، وقناع الشبكة، وعنوان الشبكة، وعنوان البث، وعنوان البوابة تُحدَّد عادةً بالإمكان الملائمة لها في ملف ‎/etc/network/interfaces، عناوين خادوم الأسماء تُحدَّد عادة في قسم nameserver في ملف ‎/etc/resolve.conf، للمزيد من المعلومات، راجع صفحة الدليل لكلٍ من interfaces و resolv.conf على التوالي وبالترتيب، وذلك بكتابة الأوامر الآتية في محث الطرفية:

للوصول إلى صفحة دليل interfaces، اكتب الأمر الآتي:

man interfaces

وللوصول إلى صفحة دليل resolv.conf:

man resolv.conf

توجيه IP

يمثِّل توجيه IP‏ (IP Routing) الوسائل اللازمة لتحديد واكتشاف الطرق في شبكات TCP/IP بالإضافة إلى تحديد بيانات الشبكة التي ستُرسَل، يَستخدِم التوجيه ما يسمى «جداول التوجيه» (routing tables) لإدارة تمرير رزم بيانات الشبكة من مصدرها إلى وجهتها؛ وذلك عادة بواسطة عقد شبكيّة وسيطة تسمى «موجهات» (routers)؛ وهنالك نوعان رئيسيان من توجيه IP: التوجيه الثابت (static routing)، والتوجيه الديناميكي (dynamic routing).

يشتمل التوجيه الثابت على إضافة توجيهات IP يدويًّا إلى جدول توجيهات النظام، ويتم ذلك عادةً بتعديل جدول التوجيهات باستخدام الأمر route؛ يتمتع التوجيه الثابت بعدِّة مزايا تميزه عن التوجيه الديناميكي، كسهولة استخدامه في الشبكات الصغيرة، وقابلية التوقع (يُحسَب جدول التوجيهات مسبقًا دائمًا، وهذا ما يؤدي إلى استخدام نفس المسار في كل مرة)، ويؤدي إلى حِملٍ قليل على الموجهات الأخرى ووصلات الشبكة نتيجةً لعدم استخدام بروتوكولات التوجيه الديناميكي؛ لكن يواجه التوجيه الثابت بعض الصعوبات أيضًا؛ فعلى سبيل المثال، التوجيهُ الثابتُ محدودٌ للشبكات الصغيرة، ولا يمكن أن يتوسَّع توسعًا سهلًا، ويصعب عليه التأقلم مع نقصان أو فشل معدات الشبكة في الطريق المسلوك نتيجةً للطبيعة الثابتة لذاك الطريق.

يُعتَمَد على التوجيه الديناميكي في الشبكات الكبيرة ذات احتمالات عديدة للطرق الشبكية المسلوكة من المصدر إلى الوجهة، وتُستخدَم بروتوكولات توجيه خاصة، كبروتوكول معلومات الموجه (Router Information Protocol [RIP])، الذي يتولَّى أمر التعديلات التلقائية في جداول التوجيه، مما يجعل من التوجيه الديناميكي أمرًا ممكنًا؛ وللتوجيه الديناميكي مزايا عدّة عن التوجيه الثابت، كإمكانية التوسع بسهولة، والتأقلم مع نقصان أو فشل معدات الشبكة خلال الطريق المسلوك في الشبكة، بالإضافة إلى الحاجة لإعداداتٍ قليلةٍ نسبيًا لجداول التوجيه، ﻷن الموجهات تعلم عن وجود وتوفر بعضها بعضًا؛ وهذه الطريقة تمنع حدوث مشاكل في التوجيه نتيجةً لخطأ بشري في جداول التوجيه. لكن التوجيه الديناميكي ليس كاملًا، ويأتي مع عيوب، كالتعقيد، والحِمل الزائد على الشبكة بسبب التواصل بين الموجهات، التي لا تفيد المستخدمين المباشرين فوريًا، وتستهلك التراسل الشبكي.

بروتوكولَي TCP و UDP

إن بروتوكول TCP هو بروتوكول مبني على الاتصال (connection-based)، ويوفر آليةً لتصحيح الأخطاء، وضمانةً لتسليم البيانات عبر ما يُعرَف بالمصطلح «التحكم في الجريان» (flow control)، يُحدِّد التحكم في الجريان متى يجب إيقاف نقل البيانات، وإعادة إرسال الرزم التي أُرسِلَت سابقًا والتي واجهة مشاكل كالتصادمات (collisions)؛ إذ أنَّ التأكيد على الوصول الدقيق والكامل للبيانات عبر بروتوكول TCP هو أمر جوهري في عملية تبادل البيانات المهمة كالتحويلات في قواعد البيانات.

أما بروتوكول UDP‏ (User Datagram Protocol) على الجهة الأخرى، هو بروتوكول عديم الاتصال (connectionless)، الذي نادرًا ما يتعامل مع عمليات نقل البيانات المهمة لأنه يفتقر إلى التحكم في جريان البيانات أو أيّة طريقة أخرى للتأكد من توصيل البيانات عمليًا؛ لكن بروتوكول UDP يُستخدَم استخدامًا شائعًا في التطبيقات كتدفق (streaming) الصوت والصورة، حيث أنه أسرع بكثير من TCP ﻷنه لا يحتوي على آليةٍ لتصحيح الأخطاء والتحكم في الجريان، وفي الأماكن التي لا يهم فيها فقدان بعض الرزم الشبكية كثيرًا.

بروتوكول ICMP

إن بروتوكول ICMP‏ (Internet Control Messaging Protocol) هو إضافة إلى بروتوكول الإنترنت (IP) الذي يُعرَّف في RFC‏‏ (Request For Comments) ذي الرقم ‎#792 ويدعم التحكم في احتواء الرزم الشبكية والأخطاء ورسائل المعلومات، يُستخدَم بروتوكول ICMP بتطبيقات شبكيّة كأداة ping، التي تستطيع تحديد إذا ما كان جهازٌ ما متاحًا على الشبكة، أمثلة عن رسالة الخطأ المُعادَة من ICMP -التي تكون مفيدةً لمضيفي الشبكة وللأجهزة كالموجهات- تتضمن رسالتَي «Destination Unreachable» و «Time Exceeded».

العفاريت

العفاريت (Daemons) هي تطبيقات نظام خاصة التي تعمل عادةً عملًا دائمًا في الخلفية، وتنتظر طلبياتٍ للوظائف التي توفرها من التطبيقات الأخرى، يتمحور عمل العديد من العفاريت حول الشبكة، وبالتالي فإن عددًا كبيرًا من العفاريت التي تعمل في الخلفية في نظام أوبنتو تُوفِّر وظائف تتعلق بالشبكة؛ بعض الأمثلة عن عفاريت الشبكة تتضمن «عفريت بروتوكول نقل النص الفائق» (HyperText Transport Protocol Daemon‏ [httpd])، الذي يوفر وظيفة خادوم الويب؛ و «عفريت الصدفة الآمنة» (Secure SHell Daemon‏ [sshd])، الذي يوفر طريقةً للدخول الآمن عن بُعد وإمكانيات نقل الملفات؛ و «عفريت بروتوكول الوصول إلى رسائل الإنترنت» (Internet Message Access Protocol Daemon‏ [imapd]) الذي يوفر خدمات البريد الإلكتروني...

مصادر

• تتوفر صفحات دليلٍ لبروتوكولي TCP و IP التي تحتوي على معلومات قيمّة.
• راجع أيضًا المصدر الآتي من IBM‏: «TCP/IP Tutorial and Technical Overview».
• مصدرٌ أخرى هو كتاب «TCP/IP Network Administration» من O'Reilly.

ترجمة -وبتصرف- للمقال Ubuntu Server Guide: Networking TCP/IP.

تتكون الشبكات من جهازين أو أكثر، كأنظمة الحواسيب والطابعات وغيرها من المعدات المتعلقة بها والتي يمكن أن تتصل إما باستخدام كبل فيزيائي أو بالروابط اللاسلكية؛ وذلك لمشاركة وتوزيع المعلومات بين الأجهزة المتصلة.

يوفر هذا الدرس معلوماتٍ عامة وأخرى متخصصة تتعلق بالشبكات، وتتضمن لمحةً عن مفاهيم الشبكة، ونقاشًا مفصَّلًا عن بروتوكولات الشبكة الشائعة.

تأتي أوبنتو مع عدد من الأدوات الرسومية لضبط أجهزة الشبكة، هذه السلسلة موجَّهة لمدراء الخواديم، وستركِّز على إدارة الشبكة من سطر الأوامر.

بطاقات إيثرنت

تُعرَّف بطاقات إيثرنت (Ethernet interfaces) في النظام باستخدام الاسم الاصطلاحي ethX، حيث تمثل X قيمةً رقميةً، وتُعرَّف أول بطاقة إيثرنت بالاسم eth0، والثانية بالاسم eth1، وهَلُّمَ جرًا للبقية، حيث تُرتَّب ترتيبًا رقميًا.

التعرف على بطاقات إيثرنت

يمكنك استخدام الأمر ifconfig كما يلي للتعرف على جميع بطاقات إيثرنت بسرعة:

ifconfig -a | grep eth
eth0 Link encap:Ethernet HWaddr 00:15:c5:4a:16:5a

برمجيةٌ أخرى تساعدك في التعرف على جميع بطاقات الشبكة المتوفرة في نظامك هي الأمر lshw؛ يُظهِر الأمر lshw في المثال الآتي بطاقة إيثرنت واحدة باسمها المنطقي eth0، مع معلومات الناقل (bus) وتفاصيل التعريف وكل الإمكانيات المدعومة:

sudo lshw -class network

  *-network
      description: Ethernet interface
      product: BCM4401-B0 100Base-TX
      vendor: Broadcom Corporation
      physical id: 0
      bus info: pci@0000:03:00.0
      logical name: eth0
      version: 02
      serial: 00:15:c5:4a:16:5a
      size: 10MB/s
      capacity: 100MB/s
      width: 32 bits
      clock: 33MHz
      capabilities: (snipped for brevity)
      configuration: (snipped for brevity)
      resources: irq:17 memory:ef9fe000-ef9fffff

الأسماء المنطقية لبطاقات إيثرنت

تُعرَّف الأسماء المنطقية للبطاقات في الملف ‎/etc/udev/rules.d/70-persistent-net.rules، إذا أردت التحكم في بطاقة التي ستحصل على اسم منطقي معين، فابحث عن السطر الذي يطابق عنوان MAC الفيزيائي للبطاقة، وعدِّل قيمة NAME=ethX إلى الاسم المنطقي المطلوب؛ أعد إقلاع النظام لتطبيق التغيرات التي أجريتها.

إعدادات بطاقة إيثرنت

إن ethtool هو برنامج يُظهِر ويعدِّل إعدادات بطاقة إيثرنت كالمفاوضة التلقائية (auto-negotiation)، وسرعة المنفذ، ونمط duplex (اتصال باتجاه وحيد، أم باتجاهين)، وخاصية الاستيقاظ عند وصول إشارة معينة من شبكة WoL‏ (Wake-on-LAN)؛ هذا البرنامج غير مثبَّت افتراضيًا، لكنه متوفر في المستودعات للتثبيت:

sudo apt-get install ethtool

ما يلي مثالٌ عن عرض الميزات المدعومة، وضبط إعدادات بطاقة إيثرنت:

sudo ethtool eth0
Settings for eth0:
    Supported ports: [ TP ]
    Supported link modes: 10baseT/Half 10baseT/Full
                          100baseT/Half 100baseT/Full
                          1000baseT/Half 1000baseT/Full
    Supports auto-negotiation: Yes
    Advertised link modes: 10baseT/Half 10baseT/Full
                           100baseT/Half 100baseT/Full
                           1000baseT/Half 1000baseT/Full
    Advertised auto-negotiation: Yes
    Speed: 1000Mb/s
    Duplex: Full
    Port: Twisted Pair
    PHYAD: 1
    Transceiver: internal
    Auto-negotiation: on
    Supports Wake-on: g
    Wake-on: d
    Current message level: 0x000000ff (255)
    Link detected: yes

التغيرات التي أُجريت بالأداة ethtool هي تغيرات مؤقتة، وستزول بعد إعادة الإقلاع، إذا أردت الحفاظ على تلك الخيارات، فأضف أمر ethtool الذي تريده إلى عبارة pre-up (التي تُنفَّذ عند تهيئة البطاقة وقبل استخدامها)، في ملف الإعدادات ‎/etc/network/interfaces.

يوضح المثال الآتي كيف يمكن ضبط إعدادات بطاقة مُعرَّفة على أنها eth0 بسرعة منفذ تساوي 1000Mb/s وتعمل في نمط full duplex (اتصال باتجاهين):

auto eth0
iface eth0 inet static
pre-up /sbin/ethtool -s eth0 speed 1000 duplex full

ملاحظة: على الرغم من أن المثال السابق يستخدم الطريقة «static»، إلا أنه يعمل مع الطرق الأخرى أيضًا، كاستخدام DHCP؛ فالغرض من المثال السابق هو توضيح المكان الصحيح لوضع عبارة pre-up في ملف إعدادات البطاقة وحسب.

عناوين IP

سيشرح القسم الآتي طريقة إعداد عناوين IP لنظامك، وضبط البوابة (gateway) الافتراضية اللازمة للتواصل على الشبكة المحلية والإنترنت.

إسناد مؤقت لعنوان IP

يمكن استخدام الأوامر القياسية عند الضبط المؤقت للشبكة، كالأمر ip و ifconfig و route التي يمكنك إيجادها في أغلب أنظمة تشغيل غنو/لينُكس؛ تسمح لك هذه الأوامر بضبط الإعدادات التي تأخذ حيز التنفيذ فوريًا، لكنها ليست دائمة؛ أي أنها لن تبقى مُفعَّلةً بعد إعادة التشغيل.

لضبط عنوان IP مؤقتًا، استخدم الأمر ifconfig بالطريقة الآتية: لتعديل عنوان IP وقناع الشبكة الفرعية (subnet mask) لمطابقة متطلبات الشبكة:

sudo ifconfig eth0 10.0.0.100 netmask 255.255.255.0

للتأكد من ضبط عنوان IP للبطاقة eth0:

ifconfig eth0
eth0      Link encap:Ethernet HWaddr 00:15:c5:4a:16:5a
          inet addr:10.0.0.100 Bcast:10.0.0.255 Mask:255.255.255.0
          inet6 addr: fe80::215:c5ff:fe4a:165a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
          RX packets:466475604 errors:0 dropped:0 overruns:0 frame:0
          TX packets:403172654 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2574778386 (2.5 GB) TX bytes:1618367329 (1.6 GB)
          Interrupt:16

لضبط البوابة الافتراضية، يمكنك استخدام الأمر route بالطريقة الآتية: حيث عليك تغيير عنوان البوابة الافتراضية لمطابقة متطلبات شبكتك:

sudo route add default gw 10.0.0.1 eth0

يمكنك استخدام الأمر route بهذه الطريقة للتأكد من ضبط البوابة الافتراضية:

route -n
Kernel IP routing table
Destination Gateway   Genmask        Flags  Metric Ref Use Iface
10.0.0.0    0.0.0.0   255.255.255.0  U      1      0   0   eth0
0.0.0.0     10.0.0.1  0.0.0.0        UG     0      0   0   eth0

إذا كنت تحتاج إلى DNS لإعدادات شبكتك المؤقتة، فيمكنك إضافة عناوين IP لخواديم DNS في الملف ‎/etc/resolv.conf، لكن ليس من المستحسن عمومًا تعديل الملف ‎/etc/resolv.conf مباشرةً، لكن هذا ضبط مؤقت وغير دائم؛ يوضح المثال الآتي طريقة إضافة عناوين خادومَي DNS إلى ملف ‎/etc/resolv.conf؛ التي يجب أن تُبدَّل إلى الخواديم الملائمة لشبكتك؛ شرحٌ مطول عن ضبط إعدادات عميل DNS سيأتي في القسم الآتي.

nameserver 8.8.8.8
nameserver 8.8.4.4

إذا لم تعد بحاجة لهذا الضبط وتريد مسح كل إعدادات IP من بطاقة معينة، فعليك استخدام الأمر ip مع الخيار flush كما يلي:

ip addr flush eth0

ملاحظة: عملية إزالة ضبط IP باستخدام الأمر ip لا تمسح محتويات ملف ‎/etc/resolv.conf، فعليك حذف أو تعديل محتوياته يدويًا.

إسناد ديناميكي لعنوان IP (عميل DHCP)

لإعداد الخادوم لكي يستخدم DHCP لإسناد العنوان ديناميكيًا، فأضف الطريقة dhcp إلى عبارة «عائلة العنوان» (address family) في inet للبطاقة المطلوبة في ملف ‎/etc/network/interfaces، يفترض المثال الآتي أنك تُعِدّ بطاقة إيثرنت الأولى المعرَّفة باسم eth0:

auto eth0
iface eth0 inet dhcp

بإضافة ضبط للبطاقة كما في المثال السابق، يمكنك أن تفعِّل البطاقة باستخدام الأمر ifup الذي يهيّء DHCP باستخدام dhclient.

sudo ifup eth0

لتعطيل البطاقة يدويًا، يمكنك استخدام الأمر ifdown، الذي بدوره يهيّء عملية الإطلاق (release) الخاصة بنظام DHCP، ويوقف عمل البطاقة.

sudo ifdown eth0

إسناد عنوان IP ثابت

لإعداد نظامك لاستخدام عنوان IP ثابت، فاستخدم الطريقة static في عبارة «عائلة العنوان» في inet للبطاقة المطلوبة في ملف ‎/etc/network/interfaces، يفترض المثال الآتي أنك تُعِدّ بطاقة إيثرنت الأولى المعرَّفة باسم eth0، عدِّل العنوان (address) وقناع الشبكة (netmask) والبوابة (gateway) إلى القيم التي تتطلبها شبكتك:

auto eth0
iface eth0 inet static
address 10.0.0.100
netmask 255.255.255.0
gateway 10.0.0.1

بعد إضافة ضبط للبطاقة كما في المثال السابق، يمكنك أن تفعِّل البطاقة باستخدام الأمر ifup:

sudo ifup eth0

يمكنك استخدام الأمر ifdown لتعطيل البطاقة يدويًا:

sudo ifdown eth0

بطاقة loopback

إن بطاقة loopback (التي هي المضيف المحلي)، معرَّفة من النظام بالاسم lo، ولها عنوان IP الافتراضي 127.0.0.1، ويمكن أن تُعرَض باستخدام الأمر ifconfig:

ifconfig lo
lo        Link encap:Local Loopback
          inet addr:127.0.0.1 Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING MTU:16436 Metric:1
          RX packets:2718 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2718 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:183308 (183.3 KB) TX bytes:183308 (183.3 KB)

افتراضيًا، يجب أن يكون هنالك سطران في ملف ‎/etc/network/interfaces مسؤولان عن ضبط بطاقة loopback تلقائيًا، ومن المستحسن أن تبقي على الإعدادات الافتراضية ما لم يكن لك غرضٌ محدد من تغييرها؛ مثال على السطرين الافتراضيين:

auto lo
iface lo inet loopback

استبيان الأسماء

إن استبيان الأسماء (Name resolution) الذي يتعلق بشبكات IP، هو عملية ربط عناوين IP إلى أسماء المضيفين، جاعلًا من السهل تمييز الموارد على الشبكة؛ سيشرح القسم الآتي كيف يُعَدّ النظام لاستبيان الأسماء باستخدام DNS، وسجلات أسماء المضيفين الثابتة (static hostname records).

ضبط إعدادات عميل DNS

تقليديًا، كان الملف ‎/etc/resolv.conf ملف ضبطٍ ثابتٍ لا تحتاج لتعديله إلا نادرًا، أو كان يُعدَّل تلقائيًا عبر عميل DHCP؛ أما حاليًا فيمكن أن يُبدِّل الحاسوب بين شبكةٍ وأخرى من حين لآخر، وأصبح يُستخدَم إطار العمل resolvconf لتَتَبُّع هذه التغيرات وتحديث إعدادات استبيان الأسماء تلقائيًا؛ في الواقع هو وسيط بين البرامج التي توفر معلومات استبيان الأسماء، والتطبيقات التي تحتاج إلى تلك المعلومات.

يُغَذَّى Resolvconf بالمعلومات عبر مجموعة من السكربتات التي تتعلق بإعدادات بطاقة الشبكة، الفرق الوحيد بالنسبة للمستخدم هي أن أيّة تعديلات حدثت على ملف ‎/etc/resolv.conf ستُفقَد عندما تُعاد كتابته كل مرة يُشغِّل فيها حدثٌ ما resolvconf؛ فبدلًا من ذلك، يستخدم resolvconf عميل DHCP وملف ‎/etc/network ‎/interfaces لتوليد قائمة بخواديم الأسماء والنطاقات ليضعها في ملف ‎/etc/resolv.conf، الذي هو الآن وصلةٌ رمزية (symlink):

/etc/resolv.conf -> ../run/resolvconf/resolv.conf

لضبط استبيان الأسماء، أضف عناوين IP لخواديم الأسماء الملائمة لشبكتك في ملف ‎/etc/network ‎/interfaces، يمكنك إضافة قائمة بحث اختيارية للاحقة DNS ‏(DNS suffix search-lists) لمطابقة أسماء نطاقات الشبكة، ولكل خيار ضبط resolv.conf صالح، يمكنك تضمين سطر واحد يبدأ باسم الخيار مع السابقة dns‎-‎ مما ينتج ملفًا شبيهًا بالملف الآتي:

iface eth0 inet static
    address 192.168.3.3
    netmask 255.255.255.0
    gateway 192.168.3.1
    dns-search example.com
    dns-nameservers 192.168.3.45 192.168.8.10

يمكن أن يُستخدَم الخيار search مع عدِّة أسماء نطاقات، وستُلحَق طلبيات DNS في التسلسل الذي أُدخِلَت به؛ على سبيل المثال، ربما يكون لشبكتك نطاقات فرعية يجب البحث فيها؛ نطاق رئيسي «example.com»، ونطاقين فرعيين «sales.example.com»، و «dev.example.com».

إذا كنت تريد البحث في عدِّة نطاقات فرعية، فسيكون ملف الضبط كالآتي:

iface eth0 inet static
    address 192.168.3.3
    netmask 255.255.255.0
    gateway 192.168.3.1
    dns-search example.com sales.example.com dev.example.com
    dns-nameservers 192.168.3.45 192.168.8.10

إذا كنت تحاول عمل ping للمضيف ذي الاسم server1، فسيطلب النظام تلقائيًا طلبية DNS لاسم النطاق الكامل (Fully Qualified Domain Name [‏FQDN])، في الترتيب الآتي:

1. server1.example.com
2. server1.sales.example.com
3. server1.dev.example.com

إذا لم يُعثَر على أيّة مطابقات، فسيزودنا خادوم DNS بنتيجة «notfound»، وستفشل طلبية DNS.

أسماء المضيفين الثابتة

يمكن تعريف أسماء ثابتة للمضيفين تربط بين اسم المضيف وعنوان IP في ملف ‎/etc/hosts؛ المدخلات في ملف hosts ستسبق طلبيات DNS افتراضيًا، هذا يعني لو أن نظامك حاول تفسير اسم مضيف، وكان هذا الاسم يطابق مدخلةً في ملف ‎/etc/hosts، فلن يحاول البحث في سجلات DNS؛ وفي بعض حالات الاستخدام -وخصوصًا عندما لا يُتَطَّلب الوصول إلى الإنترنت- يمكن أن تتعرف الخواديم الموصولة بعدد قليل من الموارد الشبكية على بعضها باستخدام أسماء المضيفين الثابتة بدلًا من DNS.

المثال الآتي هو ملف hosts، حيث نجد عددًا من الخواديم المحلية قد عُرِّفَت بأسماء مضيفين بسيطة، وأسماءٍ بديلة، وأسماء النطاقات الكاملة المكافئة لها:

127.0.0.1     localhost
127.0.1.1     ubuntu-server
10.0.0.11     server1 vpn server1.example.com
10.0.0.12     server2 mail server2.example.com
10.0.0.13     server3 www server3.example.com
10.0.0.14     server4 file server4.example.com

ملاحظة: لاحظ أن كل خادوم من الخواديم في المثال السابق قد أُعطي أسماءً بديلةً بالإضافة إلى أسمائها الأساسية، وأسماء النطاقات الكاملة؛ حيت رُبِطَ server1 مع الاسم vpn، و server2 يُشار إليه بالاسم mail، و server3 بالاسم www، و server4 بالاسم file.

ضبط تبديل خدمة الأسماء

الترتيب الذي يتبّعه نظامك لاختيار طريقةٍ لتحويل أسماء المضيفين إلى عناوين IP مُتَحَّكَمٌ به من ملف إعدادات «مُبَدِّل خدمة الأسماء» (Name Service Switch‏ [NSS]) الموجود في ‎/etc/nsswitch.conf؛ وكما ذُكِرَ في القسم السابق، فإن أسماء المضيفين الثابتة المعرَّفة في ملف ‎/etc/hosts تسبق استخدام سجلات DNS؛ المثال الآتي يحتوي على السطر المسؤول عن ترتيب البحث عن أسماء المضيفين في ملف ‎/etc/nsswitch.conf:

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4

• files: المحاولة أولًا للحصول على العناوين من ملف أسماء المضيفين الثابتة في ‎/etc/hosts.
• mdns4_minimal: محاولة الحصول على العناوين باستخدام Mulitcast DNS.
• [NOTFOUND=return]: تعني أن أي جواب يكون notfound أتى من عملية mdns4_minimal السابقة سيُعامَل بموثقية، ولن يحاول النظام الاستمرار في محاولة الحصول على جواب.
• dns: تمثل طلبية Unicast DNS قديمة.
• mdns4: تمثل طلبية Mulitcast DNS.

لتعديل ترتيب طرائق استبيان الأسماء (name resolution) المذكورة آنفًا، يمكنك بكل بساطة تعديل قيمة عبارة «hosts» للقيمة التي تريدها؛ على سبيل المثال، لو كنت تفضل استخدام Unicast DNS القديم، بدلًا من Mulitcast DNS، فتستطيع تغيير تلك السلسلة النصية في ملف ‎ /etc/nsswitch.confكما يلي:

hosts: files dns [NOTFOUND=return] mdns4_minimal mdns4

إنشاء الجسور

إنشاء جسر (bridge) بين عدة بطاقات شبكية هو ضبط متقدم جدًا، لكنه مفيد كثيرًا في حالات عديدة، أحد تلك الحالات هو إنشاء جسر بين عدة اتصالات شبكية، ثم استخدام جدار ناري لترشيح (filter) ما يمر بين قسمين من الشبكة؛ حالةٌ أخرى هي استخدام إحدى البطاقات لتمكين «الآلات الوهمية» (Virtual Machines) من الوصول إلى الشبكة الخارجية؛ يشرح المثال الآتي الحالة الأخيرة.

قبل ضبط إعدادات الجسر، عليك تثبيت حزمة bridge-utils، أدخِل الأمر الآتي في الطرفية لتثبيت هذه الحزمة:

sudo apt-get install bridge-utils

ثم اضبط الجسر بتعديل ملف ‎/etc/network/interfaces:

auto lo
iface lo inet loopback

auto br0
iface br0 inet static
        address 192.168.0.10
        network 192.168.0.0
        netmask 255.255.255.0
        broadcast 192.168.0.255
        gateway 192.168.0.1
        bridge_ports eth0
        bridge_fd 9
        bridge_hello 2
        bridge_maxage 12
        bridge_stp off

ملاحظة: أدخِل القيم الملائمة لبطاقتك الفيزيائية، والشبكة عندك.

ثم شغِّل بطاقة الجسر:

sudo ifup br0

يجب أن تعمل بطاقة الجسر تلقائيًا الآن، تُوفِّر الأداة brctl معلوماتٍ حول حالة الجسر، وتتحكم بالبطاقات التي تكوِّن جزءًا من الجسر؛ راجع صفحة الدليل man brctl لمزيد من المعلومات.

مصادر

• هنالك وصلات في صفحة ويكي أوبنتو «Network» تشير إلى مقالات تشرح الضبط المتقدم جدًا للشبكة.
• صفحة الدليل الخاصة بالبرمجية resolvconf فيها بعض المعلومات عن resolvconf.
• صفحة دليل man interfaces تحتوي على تفاصيل عن خياراتٍ أخرى لملف ‎/etc/network ‎/interfaces.
• صفحة دليل man dhclient تحتوي على تفاصيل عن الخيارات الأخرى لضبط إعدادات عميل DHCP.
• للمزيد من المعلومات حول ضبط عميل DNS، راجع صفحة الدليل man resolver؛ راجع أيضًا الفصل السادس من الكتاب المنشور من O'Reilly‏: «Linux Network Administrator's Guide»؛ الذي هو مصدر جيد للمعلومات حول ضبط resolver، وخدمة الأسماء.
• لمزيد من المعلومات حول الجسور، راجع صفحة الدليل man brctl، وصفحة Networking-bridge في موقع مؤسسة لينُكس (Linux Foundation).

توفر أوبنتو نظام إدارةَ حزمٍ شاملٍ للتثبيت والترقية والضبط وإزالة البرمجيات، بالإضافة إلى توفير الوصول إلى أكثر من 35000 حزمة برمجيات منظَّمة؛ وأيضًا من ميزات نظام إدارة الحزم حل مشاكل الاعتماديات، والتحقق من وجود تحديثات للبرمجيات.

هنالك عدة أدوات متوفرة للتعامل مع نظام إدارة الحزم الخاص بأوبنتو، بدءًا من الأدوات البسيطة التي تعمل من سطر الأوامر، التي يمكن بسهولةٍ أتمتةُ عملها من مدراء النظام، ووصولًا إلى واجهة رسومية بسيطة تكون سهلةً على الوافدين الجدد لنظام أوبنتو.

مقدمة

أُشتُق نظام إدارة الحزم في أوبنتو من نفس النظام المستخدم في توزيعة دبيان غنو/لينُكس. تحتوي ملفات الحزم على جميع الملفات اللازمة، والبيانات الوصفية، والتعليمات لتشغيل وظيفة معينة أو برنامج محدد على حاسوبك العامل بنظام تشغيل أوبنتو.

تكون لملفات حزم دبيان عادةً اللاحقة «‎.deb»، وتتواجد غالبًا في «مستودعات» (repositories)، التي هي مجموعات من الحزم الموجودة في وسائط مختلفة، كأقراص CD-ROM، أو على الإنترنت؛ تلك الحزم مُصرَّفة (compiled) مسبقًا إلى صيغة ثنائية في غالب الأحيان، لذلك يكون تثبيتها سريعًا، وبالتالي لا تحتاج لبناء البرمجية من المصدر.

تَستخدم حزمٌ عديدةٌ معقدةٌ المصطلحَ «الاعتماديات» (dependencies)؛ الاعتماديات هي الحزم الإضافية التي تتطلبها حزمة رئيسية ﻷداة الوظيفة المطلوبة أداءً سليمًا؛ على سبيل المثال، حزمة تركيب الكلام المسماة festival تعتمد على حزمة libasound2، التي توفر مكتبة الصوت ALSA الضرورية لتشغيل الصوت، ولكي يعمل festival عملًا صحيحًا، يجب أن يُثبَّت هو وجميع اعتمادياته؛ حيث تُجري أدوات إدارة البرمجيات في أوبنتو ذلك تلقائيًا.

الأداة dpkg

dpkg هو مدير حزم للأنظمة المبينة على دبيان؛ حيث يمكنه تثبيت، وحذف، وبناء الحزم، ولكن على النقيض من بقية أنظمة إدارة الحزم، لا يمكنه أن يُنزِّل ويُثبِّت الحزم أو اعتمادياتها تلقائيًا؛ سيغطي هذا القسم استخدام dpkg لإدارة الحزم المثبتة محليًا:

• اكتب الأمر الآتي في الطرفية لعرض كل الحزم المثبتة على النظام:

dpkg -l

• وبالاعتماد على عدد الحزم المثبتة على نظامك، يمكن أن يُولِّد الأمر السابق ناتجًا ضخمًا من البيانات؛ تستطيع تمرير الناتج عبر أنبوب للأداة grep لمعرفة فيما إذا كانت حزمة معينة قد ثُبِّتَت على النظام:

dpkg -l | grep apache2

استبدل اسم الحزم التي تريد البحث عنها، أو جزءًا منه، أو تعبيرًا نمطيًا (regular expression)، باسم الحزمة apache2.

• لعرض الملفات المثبتة بواسطة حزمة ما، في هذه الحالة حزمة ufw، فأدخِل الأمر:

dpkg -L ufw

• إذا لم تكن متأكدًا أيّة حزمة قد ثبتت ملفًا ما، فالأمر dpkg -S سيخبرك ذلك، على سبيل المثال:

dpkg -S /etc/host.conf
base-files: /etc/host.conf

تُظهِر المخرجات أنَّ الملف ‎/etc/host.conf ينتمي إلى الحزمة base-files.

ملاحظة: العديد من الملفات تولَّد تلقائيًا أثناء عملية تثبيت الحزمة، وعلى الرغم من أن تلك الملفات موجودة في نظام الملفات، فقد لا يعلم dpkg -S أيّة حزمة تنتمي إليها تلك الملفات.

• بإمكانك تثبيت ملف حزمة ‎.deb بالأمر الآتي:

sudo dpkg -i zip_3.0-4_i386.deb

ضع اسم ملف الحزمة التي تريد تثبيتها عندك بدلًا من zip_3.0-4_i386.deb.

• يمكن إلغاء تثبيت حزمة معينة باﻷمر:

sudo dpkg -r zip

تحذير: ليس من المستحسن في معظم الحالات إلغاء تثبيت الحزم باستخدام dpkg، من الأفضل استخدام مدير حزم يستطيع حل مشاكل الاعتماديات للتأكد من أن النظام في حالة «متينة»، فعلى سبيل المثال، استخدام dpkg -r zip سيحذف حزمة zip، لكن أيّة حزم تعتمد عليها ستبقى مثبتةً ولكنها لن تعمل بصورة صحيحة.

للمزيد من خيارات dpkg، راجع صفحة الدليل man dpkg.

الأداة Apt-Get

إن الأداة apt-get هي أداة سطر أوامر مفيدة جدًا، إذ تتعامل مع «أداة التحزيم المتقدمة» (Advanced Packaging Tool‏ [APT])، وتُنفِّذ مهامًا كتثبيت حزم البرمجيات الجديدة، وترقية الحزم البرمجية الموجودة، وتحديث فهرس قائمة الحزم، وحتى ترقية كامل نظام أوبنتو.

كون هذه الأداة أداةً سطرية (أي تعمل من سطر الأوامر)، فإن للأداة apt-get مزايا كثيرةً تتميز بها عن غيرها من أدوات إدارة الحزم المتوفرة في أوبنتو لمدراء الخواديم، إحدى تلك المزايا هي سهولة الاستخدام في جلسات الطرفية البسيطة (عبر SSH)، وقابلية الاستخدام في سكربتات إدارة الأنظمة، التي يمكن أن تؤتمت باستخدام أداة جدولة المهام cron.

بعض الأمثلة للاستخدامات الشائعة للأداة apt-get:

تثبيت حزمة

عملية تثبيت الحزم باستخدام أداة apt-get هي عمليةٌ سهلةٌ جدًا؛ فعلى سبيل المثال، اكتب الأمر الآتي لتثبيت حزمة ماسح الشبكة nmap:

sudo apt-get install nmap

حذف حزمة

أيضًا عملية حذف حزمة (أو حزم) هي عملية مباشرة جدًا؛ فلحذف الحزمة التي ثبتناها في المثال السابق، فإننا نستخدم الأمر الآتي:

sudo apt-get remove nmap

تلميح: يمكنك تحديد أكثر من حزمة لتثبَّت أو تحذف، وذلك بتمرير أسماء تلك الحزم كوسائط للأمر apt-get مفصولةً بفراغات.

إن إضافة الخيار ‎--purge إلى الأمر apt-get remove سيجعل apt-get يحذف ملفات إعدادات الحزمة أيضًا، ربما يكون -أو لا يكون- هذا ما تريده؛ استخدم هذا الخيار بعد أخذ الحيطة والحذر.

تحديث فهرس قائمة الحزم

إن فهرس حزم APT هو قاعدة بيانات للحزم المتوفرة في المستودعات المعرَّفة في ملف ‎/etc/apt/sources.list وفي مجلد ‎/etc/apt/sources.list.d؛ فلتحديث فهرس الحزم المحلي والحصول على آخر التعديلات التي أُجريَت على المستودعات، فعليك تنفيذ الأمر الآتي:

sudo apt-get update

العمليات التي أجريت بواسطة الأداة apt-get، كتثبيت وحذف الحزم، ستُسجَّل في ملف السجل ‎/var/log‎/dpkg.log.

للمزيد من المعلومات حول استخدام APT، راجع «دليل مستخدم APT في دبيان»، أو اكتب:

apt-get help

الأداة Aptitude

سيعطيك تشغيل Aptitude دون خيارات سطر الأوامر واجهةً نصيةً لنظام التحزيم المتقدم (APT)، العديد من وظائف إدارة الحزم الشائعة، كالتثبيت، والحذف، والترقية يمكن إجراؤها في Aptitude بأمرٍ ذي حرفٍ واحد، الذي يكون عادةً بأحرفٍ ذاتُ حالةٍ صغيرة.

يعمل Aptitude جيدًا في البيئات النصية التي تكون طرفياتٍ دون واجهة رسومية، لعدم حدوث تضارب في أزرار الأوامر؛ يمكنك بدء واجهة ذات قوائم من Aptitude بكتابة الأمر الآتي في مِحَث الطرفية:

sudo aptitude

ستشاهد شريط القائمة في أعلى الشاشة عندما يبدأ Aptitude، وجزأين تحته، يحتوي الجزء العلوي على تصنيفات الحزم، كالحزم الجديدة، والحزم غير المثبتة؛ وأما الجزء السفلي فيحتوي على معلومات تتعلق بالحزم وتصنيفاتها.

عملية استخدام Aptitude لإدارة الحزم هي عملية مباشرة إلى حدٍ ما؛ وتجعلُ واجهةُ المستخدمِ من المهام الشائعة أمرًا هينًا ليقام به؛ ما يلي أمثلةٌ عن كيفية تنفيذ وظائف إدارة الحزم الأساسية في Aptitude:

تثبيت الحزم

لتثبيت حزمة ما، حدِّد الحزمة في تصنيف «الحزم غير المثبتة»، وذلك باستخدام أزرار الأسهم في الحاسوب وزر Enter، علِّم على الحزم المُراد تثبيتها ثم اضغط على زر +، حيث سيتبدَّل لون مدخلة الحزمة إلى اللون الأخضر، مما يشير إلى أنها قد حُدِّدَت للتثبيت؛ اضغط الآن على الزر g لإظهار ملخص عن الأفعال التي ستُجرى على الحزم، اضغط على g مرةً أخرى، وسيُطلَب منك أن تصبح جذرًا لإكمال التثبيت، اضغط على Enter، وسيُطلَب منك إدخال كلمة المرور، أدخل كلمة المرور لتصبح جذرًا؛ في النهاية، اضغط على g مرةً أخرى، فستُسأل عن تنزيل تلك الحزمة اضغط على Enter للمتابعة، ثم ستُجرى عملية تنزيل وتثبيت الحزمة.

حذف الحزم

لحذف حزمة ما، حدد الحزمة في تصنيف «الحزم المثبتة»، وذلك باستخدام أزرار الأسهم في الحاسوب وزر Enter، علِّم على الحزم المُراد حذفها ثم اضغط على زر -، حيث سيتبدَّل لون مدخلة الحزمة إلى اللون الوردي، مما يشير إلى أنها قد حُدِّدَت للحذف؛ اضغط الآن على الزر g لإظهار ملخص عن الأفعال التي ستُجرى على الحزم، اضغط على g مرةً أخرى، وسيطلب منك أن تصبح جذرًا لإكمال التثبيت، اضغط على Enter، وسيُطلب منك إدخال كلمة المرور، أدخل كلمة المرور لتصبح جذرًا؛ في النهاية، اضغط على g مرةً أخرى، واضغط على Enter للمتابعة، ثم ستُجرى عملية إزالة الحزمة.

تحديث فهرس الحزم

لتحديث فهرس الحزم، اضغط ببساطة على الزر u، وستُسأل عمّا إذا كنت تريد أن تصبح جذرًا وتكمل التحديث، اضغط على Enter، وستُطالب بكلمة المرور، أدخل كلمة المرور لتصبح جذرًا، وسيبدأ تحديث فهرس الحزم؛ اضغط على Enter على زر OK في مربع الحوار الذي سيظهر عندما تنتهي عملية التنزيل.

ترقية الحزم

لترقية الحزم، عليك أولًا تحديث فهرس الحزم كما وضِّح سابقًا، ثم اضغط على الحرف U لتحديد جميع الحزم التي لها تحديثات، اضغط الآن على الزر g حيث سيُعرَض لك ملخص عن الأفعال التي ستُجرى على الحزم، اضغط على g مرة أخرى، وسيُطلب منك أن تصبح جذرًا لإكمال التثبيت، اضغط على Enter، وستُطالب بكلمة المرور، أدخل كلمة مرور الجذر ثم اضغط على g مرة أخرى، وستُسأل عن تنزيل الحزم، اضغط على Enter للإكمال، وستبدأ عملية ترقية الحزم.

العمود الأول من المعلومات الظاهر في الجزء العلوي في قائمة الحزم يعرض حالة الحزمة، المفاتيح الآتية تصف حالة الحزمة:

• i: الحزمة مثبتة.
• c: الحزمة غير مثبتة، لكن إعدادات الحزمة ما زالت باقيةً على النظام.
• p: حذفت الحزمة حذفًا كاملًا من النظام (هي وإعداداتها).
• v: حزمة ظاهرية (Virtual package).
• B: حزمة محطمة (Broken package).
• u: ملفات الحزمة قد فُكَّ ضغطها، لكن الحزمة لم تُعَدّ بعد.
• C: الحزمة نصف مضبوطة، أي أن الضبط قد فشل، ويلزمه إصلاح.
• H: الحزمة نصف مثبتة، فشل الحذف، ويلزمه إصلاح.

للخروج من Aptitude، اضغط على حرف q، ووافق أنك تريد الخروج؛ يمكن الوصول لوظائف عديدة من وظائف Aptitude بالضغط على زر F10.

استخدام Aptitude في سطر الأوامر

يمكنك استخدام Aptitude كأداةٍ سطرية (تعمل من سطر الأوامر) استخدامًا شبيهًا باستخدام apt-get؛ فلتثبيت حزمة nmap مع جميع الاعتماديات اللازمة، كما في مثال apt-get، فسنستخدم الأمر الآتي:

sudo aptitude install nmap

ولحذف نفس الحزمة، سنستخدم الأمر:

sudo aptitude remove nmap

راجع صفحات الدليل man لمزيد من المعلومات حول الخيارات السطرية للأداة aptitude.

التحديثات التلقائية

يمكن استخدام الحزمة unattended-upgrades لتثبيت تحديثات الحزم تلقائيًا، ويمكن ضبطها لتحديث كل الحزم، أو تثبيت التحديثات الأمنية فقط؛ لكن أولًا يجب تثبيت الحزمة بإدخال الأمر الآتي في الطرفية:

sudo apt-get install unattended-upgrades

لضبط unattended-upgrades، عدِّل مما يلي في ملف ‎ /etc/apt/apt.conf.d/50unattended-upgrades ليوافق ما تحتاج:

Unattended-Upgrade::Allowed-Origins {
    "Ubuntu trusty-security";
//  "Ubuntu trusty-updates";
};

ويمكن أيضًا وضع بعض الحزم في «القائمة السوداء» مما يؤدي إلى عدم تحديثها تلقائيًّا؛ لإضافة حزمة ما إلى القائمة السوداء:

Unattended-Upgrade::Package-Blacklist {
// "vim";
// "libc6";
// "libc6-dev";
// "libc6-i686";
};

ملاحظة: الإشارة «//» تعمل كتعليق (comment)، أي أن كل ما يتبع // لن يُفسَّر.

لتفعيل التحديثات التلقائية، عدِّل ملف ‎/etc/apt/apt.conf.d/10periodic واضبط إعدادات apt المناسبة:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

الضبط السابق يُحدِّث فهرس الحزم ويُنزِّل ويُثبِّت جميع الترقيات المتوفرة كل يوم و«يُنظِّف» أرشيف التنزيل المحلي كل أسبوع.

ملاحظة: يمكنك قراءة المزيد عن خيارات ضبط apt الزمنية في ترويسة سكربت ‎/etc/cron.daily ‎/apt.

سيُسجَّل ناتج unattended-upgrades إلى ملف ‎/var/log/unattended-upgrades.

الإشعارات

ضبط المتغير Unattended-Upgrade::Mail في ملف ‎/etc/apt/apt.conf.d/50unattended-upgrades سيجعل unattended-upgrades يرسل بريدًا إلكترونيًا إلى مدير النظام يُفصِّل فيه الحزم التي تحتاج إلى ترقية، أو التي تتعرض لمشاكل.

حزمة أخرى مفيدة هي apticron، التي تضبط عملًا مجدولًا (cron) لإرسال بريد إلكتروني لمدير النظام، يحتوي على معلومات حول أيّة حزم في النظام لها تحديثات متوفرة، وملخص عن التغيرات في كل حزمة.

أدخِل الأمر الآتي في سطر الأوامر لتثبيت حزمة apticron:

sudo apt-get install apticron

بعد انتهاء تثبيت الحزمة، عدِّل الملف ‎/etc/apticron/apticron.conf لضبط عنوان البريد الإلكتروني والخيارات الأخرى:

EMAIL="root@example.com"

الضبط

الضبط الخاص بمستودعات أداة التحزيم المتقدمة (APT) مُخزَّنٌ في ملف etc/apt/sources.list/ ومجلد ‎/etc/apt/sources.list.d، ستُذكَر معلومات عن طريقة إضافة أو إزالة المستودعات من الملف في هذا القسم.

بإمكانك تعديل الملف لتفعيل المستودعات أو تعطيلها؛ على سبيل المثال، لتعطيل ضرورة إدراج القرص المضغوط الخاص بأوبنتو في كل مرة تُجرى فيها عملية على الحزم، فضع رمز التعليق قبل السطر الموافق لقرص CD-ROM، الذي يظهر في أول الملف:

# no more prompting for CD-ROM please
# deb cdrom:[Ubuntu 14.04 _Trusty Tahr_ - Release i386 (20111013.1)]/ trusty main restricted

مستودعات إضافية

بالإضافة إلى مستودعات الحزم الرسمية المدعومة المتوفرة لأوبنتو، هنالك مستودعات مصانة من المجتمع تمنحك إمكانية تثبيت الآلاف من الحزم الإضافية، أشهر اثنين منها هما مستودعا «Universe» و «Multiverse»، هذان المستودعان غير مدعومين من أوبنتو رسميًا؛ لكنهما مصانان من المجتمع، حيث يوفران حزمًا آمنة لاستخدامها على حاسوبك.

ملاحظة: قد يكون في الحزم الموجودة في مستودع «Multiverse» مشاكلٌ في الترخيص مما يمنع من توزيعها مع نظام التشغيل الحر، وقد يكونون غير قانونيين في منطقتك.

تحذير: لاحظ أن أيًّا من مستودعي «Universe» و «Multiverse» لا يحتويان حزمًا مدعومةً رسميًا من أوبنتو، وهذا يعني أنها قد لا تكون هنالك تحديثات أمنية لتلك الحزم.

هنالك مصادر عديدة للحزم، وأحيانًا توفر تلك المصادر حزمةً واحدةً فقط، في هذه الحالة، تكون مصادر الحزمة موفرة من مطور تطبيق واحد؛ يجب أن تكون حذرًا جدًا عند استخدام مصادر غير قياسية للحزم؛ وعليك -على أي حال- البحث عن المصدر جيدًا قبل القيام بأية عملية تثبيت، فقد تجعل بعض تلك الحزم من النظام غير مستقرٍ أو لا يؤدي وظائفه في بعض الجوانب.

تكون مستودعات «Universe» و «Multiverse» مفعَّلة افتراضيًا، لكن إذا أردت تعطيلها، فعدّل الملف ‎/etc/apt/sources.list وضَعْ تعليقًا قبل الأسطر الآتية:

deb http://archive.ubuntu.com/ubuntu trusty universe multiverse
deb-src http://archive.ubuntu.com/ubuntu trusty universe multiverse

deb http://us.archive.ubuntu.com/ubuntu/ trusty universe
deb-src http://us.archive.ubuntu.com/ubuntu/ trusty universe
deb http://us.archive.ubuntu.com/ubuntu/ trusty-updates universe
deb-src http://us.archive.ubuntu.com/ubuntu/ trusty-updates universe

deb http://us.archive.ubuntu.com/ubuntu/ trusty multiverse
deb-src http://us.archive.ubuntu.com/ubuntu/ trusty multiverse
deb http://us.archive.ubuntu.com/ubuntu/ trusty-updates multiverse
deb-src http://us.archive.ubuntu.com/ubuntu/ trusty-updates multiverse

deb http://security.ubuntu.com/ubuntu trusty-security universe
deb-src http://security.ubuntu.com/ubuntu trusty-security universe
deb http://security.ubuntu.com/ubuntu trusty-security multiverse
deb-src http://security.ubuntu.com/ubuntu trusty-security multiverse

مصادر

أغلبية المعلومات التي أُعطِيت في هذا الدرس موجودةٌ في صفحات الدليل، التي يتوفر كثير منها على الإنترنت:

• صفحة ويكي أوبنتو «InstallingSoftware» فيها بعض المعلومات.
• للمزيد من التفاصيل عن dpkg، راجع صفحة الدليل man dpkg.
• مقالة «APT HOWTO»، وصفحة الدليل man apt-get، توفر معلومات مفيدة عن كيفية استخدام apt-get.
• راجع صفحة الدليل man aptitude للمزيد من الخيارات الخاصة بأداة Aptitude.
• صفحة ويكي أوبنتو «Adding Repositories HOWTO» تحتوي معلومات مفيدة عن طريقة إضافة المستودعات.

ترجمة -وبتصرف- للمقال Package Managment.

يشير تفريغ انهيار النواة (Kernel Crash Dump) إلى جزء من محتويات ذاكرة الوصول العشوائي غير الدائمة التي تُنسَخ إلى القرص عندما يتعرض تنفيذ النواة إلى اضطراب ما.

الأحداث الآتية تسبب اضطراب النواة:

• ارتياع النواة (Kernel Panic).
• تقطعات غير مقنَّعة (Non Maskable Interrupts‏ [NMI]).
• استثناءات تفحص الجهاز (Machine Check Exceptions ‏[MCE]).
• عطب في العتاد.
• تدخل يدوي.

لبعض تلك الأحداث (الارتياع، أو NMI)، سيكون رد فعل النواة تلقائيًا، وتُطلَق آلية تفريغ انهيار النواة عبر kexec، يلزم التدخلُ اليدوي في الحالات الأخرى للحصول على معلومات الذاكرة، وعندما تقع إحدى الأحداث السابقة، فيجب معرفة السبب الرئيسي للتمكن من تجنبه مستقبلًا؛ يمكن تحديد السبب بتفحص محتويات الذاكرة المنسوخة.

آلية تفريغ انهيار النواة

عندما يحدث ارتياع النواة، فإن النواة تعتمد على آلية kexec لتعيد الإقلاع بسرعة لنسخةٍ جديدةٍ من النواة في القسم المحفوظ من الذاكرة المحجوزة عندما أقلع النظام (انظر في الأسفل)، وهذا يسمح لمنطقة الذاكرة المتبقية أن تبقى دون أن تُلمَس لنسخها نسخًا آمنًا إلى وسيطة التخزين.

التثبيت

تُثبَّت أداة تفريغ انهيار النواة بالأمر الآتي:

sudo apt-get install linux-crashdump

الضبط

عدِّل الملف ‎/etc/default/kdump-tool مضيفًا السطر الآتي:

USER_KDUMP=1

يجب إعادة إقلاع النظام بعد ذلك.

التحقق

للتأكد من أن آلية تفريغ انهيار النواة مفعَّلة، فهنالك عدِّة أمور يجب التحقق منها، تأكد أولًا من أن مُعامِل الإقلاع crashkernel موجودٌ (لاحظ أن الأسطر الآتية قد قُسِّمَت لكي تظهر بشكلٍ سليم):

cat /proc/cmdline

BOOT_IMAGE=/vmlinuz-3.2.0-17-server root=/dev/mapper/PreciseS-root ro
   crashkernel=384M-2G:64M,2G-:128M

لمعامل crashkernel الشكل العام الآتي:

crashkernel=<range1>:<size1>[,<range2>:<size2>,...][@offset]
   range=start-[end] 'start' is inclusive and 'end' is exclusive.

لذا، لمعامل crashkernel الذي وجدناه في ملف ‎/proc/cmdline، سيكون لدينا:

crashkernel=384M-2G:64M,2G-:128M

السطر السابق يعني الآتي:

• إذا كانت قيمة الذاكرة في النظام أقل من 384 ميغابايت، فلا تُبقي على شيء (هذه هي حالة «الإنقاذ» [rescue]).
• إذا كانت قيمة الذاكرة في النظام بين 384 ميغابايت و 2 غيغابايت (بما فيها 2 غيغابايت)، فحافظ على 64 ميغابايت.
• إذا كان حجم الذاكرة في النظام أكبر من 2 غيغابايت، فحافظ عندها على 128 ميغابايت.

ثانيًا، يجب التأكد من أن النواة قد حافظت على مكان الذاكرة المطلوبة للأداة kdump باستخدام:

dmesg | grep -i crash

...
[ 0.000000] Reserving 64MB of memory at 800MB for crashkernel (System RAM: 1023MB)

اختبار آلية تفريغ انهيار النواة

تحذير: سيؤدي اختبار آلية تفريغ انهيار النواة إلى إعادة إقلاع النظام، وقد يسبب ذلك فقدانًا للبيانات في بعض الأحيان إذا كان النظام تحت حِملٍ شديد؛ إذا أردت اختبار الآلية فتأكد من أن نظامك لا يجري أيّة عمليات مهمة، أو أنَّه تحت حمل خفيف جدًا.

تأكد من أن آلية SysRq مُفعَّلة بالنظر إلى قيمة معامل النواة في ‎/pro/sys/kernel/sysrq:

cat /proc/sys/kernel/sysrq

إذا أُعيدَت القيمة 0، فإن تلك الميزة معطلة، وعليك تنفيذ الأمر الآتي لتفعيلها:

sudo sysctl -w kernel.sysrq=1

بعد فعل ذلك، يجب أن تصبح المستخدم الجذر حيث لا يكفي استخدام sudo؛ وعليك تنفيذ الأمر التالي كمستخدم جذر:

 echo c > /proc/sysrq-trigger 

إذا كنت تستخدم اتصالًا شبكيًا، فستفقد تواصلك مع النظام ولهذا من الأفضل أن تختبر ذلك عندما تكون موصولًا للنظام عبر طرفية محلية، مما يجعل عملية تفريغ النواة ظاهرةً أمامك.

إن ناتج فحصٍ عادي سيكون شبيهًا بما يلي:

sudo -s
[sudo] password for ubuntu:
# echo c > /proc/sysrq-trigger
[ 31.659002] SysRq : Trigger a crash
[ 31.659749] BUG: unable to handle kernel NULL pointer dereference at               (null)
[ 31.662668] IP: [<ffffffff8139f166>] sysrq_handle_crash+0x16/0x20
[ 31.662668] PGD 3bfb9067 PUD 368a7067 PMD 0
[ 31.662668] Oops: 0002 [#1] SMP
[ 31.662668] CPU 1
....

لقد اُقتطِعَت بقية السجل، لكن يجب أن تشاهد أن النظام قد أعيد إقلاعه في مكان ما في السجل، حيث سترى السطر الآتي:

Begin: Saving vmcore from kernel crash ...

عند الإكمال، سيُعاد تشغيل النظام لحالته الاعتيادية، وستجد ملف تفريغ انهيار النواة في مجلد ‎/var/crash:

ls /var/crash
linux-image-3.0.0-12-server.0.crash

مصادر

تفريغ انهيار النواة هو موضوع واسع يتحاج إلى خبرات في نواة لينُكس، تستطيع إيجاد المزيد من المعلومات حول الموضوع في:

• توثيق kdump
• الأداة crash
• مقالة «تحليل تفريغ انهيار نواة لينُكس» (هذه المقالة مبنية على فيدورا، لكنها تشرح تحليل تفريغ النواة جيدًا).

ترجمة -وبتصرّف- لـ Kernel Crash Dump.

إنّ Bacula-web هو عبارة عن تطبيق ويب مكتوب بلغة PHP يُزوِّدنا بطريقة سهلة لعرض ملخصات ومخططات بيانية لوظائف النسخ الاحتياطي backup jobs التي تم تشغيلها مسبقًا، وبالرغم من أنّه لا يسمح لنا بالتحكم بـ Bacula بأي طريقة فهو يُزوِّدنا بواجهة رسوميّة بديلة لطريقة عرض الوظائف من الـ console، إنّ Bacula-web مفيد خاصّة للمستخدمين الجديدين على Bacula، حيث تُسهِّل علينا تقاريره فهم آلية عمل Bacula.

سنشرح في هذا الدّرس كيفيّة تثبيت Bacula-web على خادوم Ubuntu الذي تعمل عليه برمجيّة خادوم Bacula.

المتطلبات الأساسية

يجب أن تمتلك من أجل متابعة الدّرس برمجيّة خادوم Bacula للنسخ الاحتياطي مُثبَّتة على خادوم Ubuntu لديك، تستطيع إيجاد تعليمات تثبيت Bacula هنا: كيفيّة تثبيت خادوم Bacula على Ubuntu.

يفترض هذا الدّرس أنّ خادوم Bacula لديك يستخدم قاعدة بيانات MySQL، إن كنت تستخدم قاعدة بيانات أخرى مثل PostgreSQL فتأكّد من أن تقوم بالضبط المناسب من أجل هذا الدّرس، ستحتاج إلى تثبيت وحدة PHP مناسبة والقيام بضبط أمثلة معلومات اتصال قاعدة البيانات.

فلنبدأ الآن.

تثبيت Nginx و PHP

إنّ Bacula-web هو عبارة عن تطبيق PHP لذا نحتاج لتثبيت PHP وخادوم ويب، سنستخدم Nginx، إن أردت تعلم المزيد حول إعداد هذه البرمجيّة فتحقّق من هذا الدّرس LEMP tutorial.

نقوم بتحديث قوائم apt-get لدينا:

sudo apt-get update

نُثبِّت بعدها Nginx، PHP-fpm، وبعض الحِزَم الأخرى باستخدام apt-get:

sudo apt-get install nginx apache2-utils php5-fpm php5-mysql php5-gd

نحن الآن جاهزون لإعداد PHP وNginx.

إعداد PHP-FPM

نفتح ملف إعدادات PHP-FPM باستخدام مُحرِّر النصوص الذي نفضّله، سنستخدم vi:

sudo vi /etc/php5/fpm/php.ini

نبحث عن السطر الذي يُحدِّد cgi.fix_pathinfo، نزيل التعليق عنه ونستبدل قيمته بـ 0، يجب أن يبدو كما يلي بعد أن ننتهي من ذلك:

cgi.fix_pathinfo=0

نبحث الآن عن الإعداد date.timezone، نزيل التعليق عنه ونستبدل قيمته بقيمة المنطقة الزمنية لدينا، سنضع New York على سبيل المثال:

date.timezone = America/New_York

إن أردت الحصول على قائمة بكافّة المناطق الزمنية timezones فتحقّق من وثائق PHP.

نحفظ الملف ونخرج منه.

الآن وقد أصبح PHP-FPM مُعدًّا بشكل صحيح فلنقم بإعادة تشغيله لتطبيق التغييرات:

sudo service php5-fpm restart

إعداد Nginx

حان الوقت الآن لإعداد Nginx ليُخدِّم تطبيقات PHP.

في البداية نقوم بإنشاء ملف htpasswd لكي لا نسمح بالأشخاص غير المُصرَّح لهم بالنفاذ إلى Bacula-web، نستخدم الأمر htpasswd لإنشاء مستخدم مُدير admin، يُدعى "admin" (يجب أن تستخدم اسمًا آخر)، والذي يستطيع النفاذ إلى واجهة Bacula-web:

sudo htpasswd -c /etc/nginx/htpasswd.users admin

ندخل كلمة السّر في المُحِث prompt، ونقوم بتحديد تذكر تسجيل الدخول هذا لأنّنا سنحتاجه للنفاذ إلى Bacula-web.

نفتح الآن ملف إعدادات كتلة block الخادوم الافتراضيّة في Nginx من خلال مُحرِّر نصوص، سنستخدم vi:

sudo vi /etc/nginx/sites-available/default

نستبدل محتويات الملف بكتلة الشيفرة code التالية، احرص على تبديل القيمة server_name باسم نطاق خادومك أو عنوان IP الخاص به:

server {
  listen 80 default_server;
  listen [::]:80 default_server ipv6only=on;

  root /usr/share/nginx/html;
  index index.php index.html index.htm;
  
  server_name server_domain_name_or_IP;
 
  auth_basic "Restricted Access";
  auth_basic_user_file /etc/nginx/htpasswd.users;

  location / {
    try_files $uri $uri/ =404;
  }

  error_page 404 /404.html;
  error_page 500 502 503 504 /50x.html;
  location = /50x.html {
    root /usr/share/nginx/html;
  }

  location ~ \.php$ {
    try_files $uri =404;
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
  }
}

نقوم بحفظ الملف والخروج منه، يقوم هذا بإعداد Nginx لتخديم تطبيقات PHP وليستخدم ملف htpasswd الذي أنشأناه سابقًا من أجل الاستيثاق authentication.

ولتطبيق التغييرات نعيد تشغيل Nginx:

sudo service nginx restart

نحن الآن جاهزون لتنزيل Bacula-web.

تنزيل وإعداد Bacula-web

نقوم بالانتقال إلى الدليل الرئيسي home لدينا وتنزيل إصدار Bacula-web الأخير على شكل ملف أرشيف، الإصدار الأخير في وقت كتابة هذا الدّرس هو 7.0.3:

cd ~
wget --content-disposition http://www.bacula-web.org/download.html?file=files/bacula-web.org/downloads/bacula-web-7.0.3.tgz

نُنشِئ الآن دليلًا جديدًا اسمه bacula-web، وننتقل إليه، ثمّ نستخرج محتويات الأرشيف Bacula-web إليه:

mkdir bacula-web
cd bacula-web
tar xvf ../bacula-web-*.tgz

ينبغي قبل نسخ الملفّات إلى جذر المستند document root لخادوم الويب لدينا أن نقوم بإعداده أولًا.

نقوم بالانتقال إلى دليل الإعدادات كما يلي:

cd application/config

يُزوِّدنا Bacula-web بعيّنة sample من الإعدادات، ننسخها كما يلي:

cp config.php.sample config.php

نقوم الآن بتحرير ملف الإعدادات ضمن مُحرِّر نصوص، سنستخدم vi:

vi config.php

نبحث بداخله عن:

MySQL bacula catalog //

ونزيل التعليق عن تفاصيل الاتصال، نضع أيضًا كلمة سر قاعدة بيانات Bacula الخاصّة بنا بدلًا من القيمة password (والتي يُمكِن إيجادها في المسار etc/bacula/bacula-dir.conf/ ضمن الإعداد "dbpassword"):

// MySQL bacula catalog
$config[0]['label'] = 'Backup Server';
$config[0]['host'] = 'localhost';
$config[0]['login'] = 'bacula';
$config[0]['password'] = 'bacula-db-pass';
$config[0]['db_name'] = 'bacula';
$config[0]['db_type'] = 'mysql';
$config[0]['db_port'] = '3306';

نحفظ الملف ونخرج منه.

أصبح الآن Bacula-web مُعدًّا كما يجب، الخطوة الأخيرة هي وضع ملفّات التطبيق في المكان المناسب.

نسخ تطبيق Bacula-web إلى جذر المستند Document Root

قمنا بإعداد Nginx ليستخدم usr/share/nginx/html/ كجذر المستند، ننتقل إلى هذا المسار ونحذف الملف index.html الافتراضي باستخدام الأوامر التالية:

cd /usr/share/nginx/html
sudo rm index.html

ننقل الآن ملفّات Bacula-web إلى الموقع الحالي، وهو جذر مستند Nginx:

sudo mv ~/bacula-web/* .

نقوم بتغيير ملكيّة الملفّات إلى www-data، وهو المستخدم العفريت (بالإنجليزية Daemon وهو برنامج يعمل في خلفيّة النظام) الذي يقوم بتشغيل Nginx:

sudo chown -R www-data: *

الآن تمّ تثبيت Bacula-web بشكل كامل.

النفاذ إلى Bacula-web من خلال المتصفح

أصبح الآن Bacula-web قابلًا للنفاذ على اسم نطاق خادومنا أو من خلال عنوان IP العام له.

ربّما ترغب الآن أن تختبر أنّ كل شيء مُعَد بشكل صحيح، ولحسن الحظ يُزوّدنا Bacula-web بصفحة اختبار test، نستطيع الوصول إليها بفتح الرابط التالي في متصفّح الإنترنت (مع وضع عنوان خادومنا بدلًا من server_public_IP):

http://server_public_IP/test.php

ينبغي أن نرى الآن جدول يُظهِر الحالة لمختلف عناصر Bacula-web، ويجب أن تملك كافّة العناصر علامة صح خضراء بجانبها، ما عدا وحدات قواعد البيانات التي لا نريدها، على سبيل المثال نحن نستخدم هنا MySQL لذا لا نحتاج لوحدات قواعد البيانات الأخرى:

إن سار كل شيء على ما يرام فنحن الآن جاهزون لاستخدام الصفحة الرئيسيّة dashboard، نستطيع الوصول إليها عن طريق النقر على النص "Bacula-web" الموجود في الأعلى والأيسر، أو عن طريق زيارة خادومنا من خلال متصفّح الإنترنت:

http://server_public_IP/

يجب أن تبدو مماثلة لما يلي:

الخاتمة

أصبحنا مستعدين الآن لاستخدام Bacula-web لمراقبة مُختلَف وظائف Bacula وحالاتها بسهولة.

ترجمة -وبتصرّف- لـ How To Install Bacula-web on Ubuntu 14.04 لصاحبه Mitchell Anicas.

بعد أن تطرّقنا في الدّرس السّابق إلى كيفية تنصيب نسخة الخواديم من نظام أوبنتو إضافة إلى كيفية إعداد مُختلف تطبيقاته، سنستعرض في هذا المقال بعض الخصائص المُتقدّمة التي قد تحتاج إليها لدى تنصيبك للنّظام.

RAID برمجي

مصفوفة التعدد للأقراص المستقلة (Redundant Array of Independent Disks أو اختصارًا RAID) هي طريقة لاستخدام عدِّة أقراص صلبة لتوفير توازن بين زيادة مرونة ووثوقيّة تخزين البيانات، و/أو زيادة أداء القراءة والكتابة، وذلك بالاعتماد على مستوى RAID المطبَّق؛ ويمكن تطبيق RAID إما بطريقة برمجية (حيث يَعلم نظام التشغيل عن القرصين المستخدمين، ويصون العلاقة بينهما)، أو عن طريق العتاد (حيث يضاف متحكم خاص يجعل نظام التشغيل يعتقد أنه يتعامل مع قرص واحد، ويتحكم بالأقراص تحكمًا «خفيًا»).

النسخة البرمجية من RAID الموجودة في الإصدارات الحالية من لينُكس (وأوبنتو) هي مبنية على محرك «mdadm» الذي يعمل عملًا ممتازًا، وحتى أنه أفضل من متحكمات RAID «الفيزيائية»؛ سيدلُّك هذا القسم على طريقة تثبيت نسخة الخادوم من أوبنتو باستخدام قسمَي RAID1 على قرصين صلبين منفصلين، واحد من أجل نظام ملفات الجذر (/)، والآخر لذاكرة التبديل (swap).

التقسيم

اتَّبِع تعليمات التثبيت إلى أن تصل إلى خطوة تقسيم الأقراص، عندها:

1. اختر طريقة التقسيم اليدوية.
2. اختر القرص الصلب الأول، ووافق على «هل تريد إنشاء جدول تجزئة جديد وفارغ على هذا الجهاز؟» ، أعد هذه الخطوة لجميع الأجهزة التي تريدها أن تصبح جزءًا من مصفوفة RAID.
3. اختر «المساحة المتاحة» في أول قرص، ثم حدد «إنشاء جزء [قسم] جديد».
4. اختر بعدها المساحة التخزينية لهذا القسم، سيكون هذا القسم هو القسم الخاص بذاكرة التبديل، والقاعدة العامة لحجم ذاكرة التبديل هي أن تكون ضعف حجم ذاكرة الوصول العشوائي (RAM)، اختر المساحة التخزينية للقسم، ثم اختر «أولي»، ثم «في البداية» (مكان بدء القطاعات).
5. ملاحظة: لا يُستحسَن دومًا أن يكون حجم ذاكرة التخزين ضعف حجم الذاكرة، وخصوصًا في الأنظمة التي تملك مقدارًا كبيرًا من الذاكرة، يتوقف حساب الحجم التخزيني لقسم ذاكرة التبديل على طريقة استخدام النظام.
6. اختر سطر «طريقة الاستخدام» من الأعلى، الذي يكون افتراضيًا «نظام ملفات Ext4»، وغيرّه إلى «حجم فيزيائي لمصفوفة RAID» (أو «الكتلة الجسمية لـ RAID») ، ثم اختر «انتهى إعداد الجزء [القسم]».
7. ولتهيئة قسم الجذر (/) فاختر «المساحة المتاحة» مرةً أخرى على القرص الصلب الأول، ثم اختر «إنشاء جزء [قسم] جديد».
8. اختر ما تبقى من مساحة القرص التخزينية، ثم اضغط على متابعة، ثم «أولي».
9. وكما في قرص ذاكرة التبديل، اختر «طريقة الاستخدام» ثم «حجم فيزيائي لمصفوفة RAID»، ثم اختر سطر «وسم إمكانية الإقلاع»، وغيرها إلى «ممكَّن»، ثم اختر «انتهى إعداد الجزء [القسم]».
10. أعد تنفيذ الخطوات من ثلاثة إلى ثمانية للأقراص والأقسام الأخرى.

إعداد RAID

بعد أن أُعِّدَت الأقسام، يمكن الآن ضبط المصفوفة:

1. عد إلى صفحة «تقسيم الأقراص» الرئيسية، ثم اختر «تهيئة مصفوفة RAID البرمجية» في الأعلى.
2. اختر «نعم» لكتابة التغيرات إلى القرص.
3. اختر «إنشاء جهاز MD».
4. لهذا المثال، اختر «RAID1»، لكن إن كنت تستخدم ضبطًا مختلفًا، فاختر النوع الملائم (RAID0، أو RAID1‎، أو‏ RAID5). ملاحظة: ستحتاج إلى ثلاثة أقراص على الأقل لاستخدام RAID5، أما استخدام RAID0 أو RAID1، فيلزمك قرصان فقط.
5. أدخِل رقم الأجهزة الفعالة (2)، أو مقدار الأقراص الصلبة التي عندك والتي ترغب باستخدامها في المصفوفة، ثم اختر «متابعة».
6. أدخل رقم الأقراص البديلة (في حالة حدوث عطب في أحد الأقراص)، الذي هو «0» افتراضيًا، ثم اختر «متابعة».
7. اختر الأقسام التي تريد استخدامها، عمومًا، ستكون sda1, sdb1, sdc1 ...إلخ. ستتطابق الأرقام غالبًا، وستختلف الأحرف للدلالة على اختلاف الأقراص الصلبة.
8. لقسم ذاكرة التبديل، اختر sda1، و sdb1، ثم اختر «متابعة» للذهاب للخطوة الآتية.
9. أعد الخطوات من ثلاثة إلى سبعة لقسم الجذر (/) باختيار sda2، و sdb2.
10. بعد انتهائك من الضبط، اختر «إنهاء».

التهيئة

يجب أن تحصل الآن على قائمة بالأقراص الصلبة وأجهزة RAID، الخطوة الآتية هي التهيئة وإعداد نقاط الوصل لأجهزة RAID؛ عامل جهاز RAID كقرص صلب، هيِّئه وصِلْه كالمعتاد.

1. اختر «‎#1» تحت قسم «RAID1 برمجي الجهاز ‎#0».
2. اختر «استخدام كـ»، ثم اختر «ذاكرة التبديل»، ثم «انتهى إعداد الجزء [القسم]».
3. ثم اختر «‎#1» تحت قسم «RAID1 برمجي الجهاز ‎#1».
4. اختر «طريقة الاستخدام»، ثم اختر «نظام ملفات Ext4 سجلي».
5. اختر «نقطة الوصل»، واضبطها على «/ - جذر نظام الملفات»، عدِّل الخيارات الأخرى كما تريد، ثم اختر «انتهى إعداد الجزء [القسم]».
6. في النهاية، اختر «إنهاء التجزئة، وكتابة التغيرات إلى القرص».

إذا اخترت وضع قسم الجذر في مصفوفة RAID، فسيسألك المثبت إذا كنت تريد الإقلاع بحالة «منخفضة» (degraded)، راجع القسم «مصفوفة RAID ذات الحالة المتدهورة (degraded state)» للمزيد من التفاصيل.

يجب أن تُكمَل عملية التثبيت بشكلٍ اعتيادي.

مصفوفة RAID ذات الحالة المتدهورة (degraded state)

قد يحصل خلل في القرص في نقطة ما من حياة الحاسوب؛ وعندما يحصل ذلك وقت استخدام مصفوفة RAID برمجية، فسيضع نظام التشغيل المصفوفة في ما يدعى «الحالة المتدهورة» (degraded state).

إذا أصبحت المصفوفة في الحالة المتدهورة -ربما لحدوث تلف في البيانات- فعندها تحاول نسخة الخادوم من أوبنتو افتراضيًا الإقلاع إلى initramfs بعد ثلاثين ثانية، وعندما يكتمل إقلاع initramfs، فسيظهر مِحَث لمدة خمس عشرة ثانية يسمح لك بالاختيار بين إقلاع النظام أو محاولة استرداده يدويًا؛ ربما لا يكون الإقلاع إلى محث initramfs هو السلوك المطلوب، وخصوصًا إن كان الحاسوب في مكان بعيد عنك. يمكن إعداد الإقلاع إلى مصفوفة متدهورة بعدة طرق:

• الأداة dpkg-reconfigure التي تستخدم لضبط السلوك الافتراضي؛ وستُسأل خلال العملية عن الخيارات الإضافية المتعلقة بالمصفوفة، كالمراقبة، وتنبيهات البريد ...إلخ. أدخِل الأمر الآتي لإعداد mdadm:

sudo dpkg-reconfigure mdadm

• ستغير عملية dpkg-reconfigure mdadm ملف الإعدادات ‎/etc/initramfs-tools ‎/conf.d/mdadm، لدى هذا الملف ميزة القدرة على الإعداد المسبق لسلوك النظام، ويمكن تعديله يدويًا:

BOOT_DEGRADED=ture

ملاحظة: يمكن تجاوز ملف الإعدادات باستخدام وسيط يمرر للنواة.

يَسمح استخدام وسيط يمرر للنواة لك أيضًا بإقلاع النظام من مصفوفة ذات الحالة المتدهورة كما يلي:

• عندما يقلع الخادوم، اضغط على Shift لفتح قائمة جروب (Grub).
• اضغط e لتعديل خيارات النواة.
• اضغط على زر السم السفلي لتعليم سطر النواة.
• أضف «bootdegraded=true» (دون علامات الاقتباس) إلى نهاية السطر.
• اضغط على Ctrl+x لإقلاع النظام.

بعد أن يُقلِع النظام، تستطيع إما إصلاح المصفوفة (انظر قسم «صيانة مصفوفات RAID» للتفاصيل) أو نسخ المعلومات المهمة إلى جهاز آخر بسبب عطب في العتاد.

صيانة مصفوفات RAID

يمكن أن تَعرِض الأداة mdadm حالة المصفوفة، أو تستطيع إضافة أو إزالة أقراص في المصفوفة ...إلخ.

• لإظهار حالة مصفوفة أقراص، فأدخِل الأمر الآتي إلى الطرفية:

sudo mdadm -D /dev/md0

الخيار ‎-D يخبر mdadm أن يُظهِر معلوماتٍ تفصيلية حول الجهاز ‎/dev/md0، استبدل مسار جهاز RAID المناسب بالمسار ‎/dev/md0.

• لعرض حالة قرص في مصفوفة:

sudo mdadm -E /dev/sda1

ستُشابِه مخرجات الأمر السابق مخرجات الأمر mdadm -D؛ عدِّل ‎/dev/sda1 لكل قرص من أقراص المصفوفة.

• إذا عُطِبَ قرصٌ ما، فيجب أن يُزال من المصفوفة:

sudo mdadm --remove /dev/mo0 /dev/sda1

بدِّل كلًّا من ‎/dev/md0 و ‎/dev/sda1 إلى جهاز RAID والقرص الملائمَين بالتوالي وبالترتيب.

• وبطريقة مشابهة، لإضافة قرص جديد:

sudo mdadm --add /dev/md0 /dev/sda1

يمكن أن تُبَدَّل حالة القرص في بعض الأحيان إلى «مُعَاب» (faulty)، حتى وإن لم يكن فيه خلل فيزيائي؛ من المفيد في كثير من الأحيان إزالة القرص من المصفوفة، ثم إعادة إضافته؛ وهذا ما يجعل القرص يُزامَن مرةً أخرى مع المصفوفة؛ وإذا لم يزامن القرص مع المصفوفة، فهذا دليلٌ قويٌ على وجود مشكلة فيزيائية فيه.

يحتوي الملف ‎/proc/mdstat على معلومات مفيدة حول حالة أجهزة RAID في النظام:

cat /proc/mdstat

Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]
md0 : active raid1 sda1[0] sdb1[1]
10016384 blocks [2/2] [UU]
unused devices: <none>

الأمر الآتي رائع لمشاهدة حالة مزامنة قرص:

watch -n1 cat /proc/mdstat

اضغط على Ctrl+c لإيقاف الأمر watch.

إذا احتجت لاستبدال قرص معطوب، فيجب أن يعاد تثبيت محمل الإقلاع «جروب» (grub) مرةً أخرى بعد استبدال القرص المعطوب بالجديد ومزامنته؛ أدخِل الأمر الآتي لتثبيت «جروب» على القرص الجديد:

sudo grub-install /dev/md0

ضع اسم جهاز المصفوفة الملائم بدلًا من ‎/dev/md0.

مصادر

إن موضوع مصفوفات RAID هو موضوع معقد نتيجةً لوفرة الطرق التي يمكن ضبط RAID فيها، رجاءً راجع الروابط الآتية لمزيدٍ من المعلومات:

• المقالات التي تتحدث عن RAID في ويكي أوبنتو.

• مقالة بعنوان «Software RAID HOWTO».
• كتاب «Managing RAID on Linux».

مدير الحجوم المنطقية (LVM)

يسمح مدير الحجوم المنطقية (Logical Volume Manager) لمدراء الأنظمة بإنشاء حجوم تخزينية على قرصٍ واحد أو أقراصٍ صلبة متعددة؛ ويمكن إنشاء حجوم LVM على أقسام في مصفوفة RAID أو على الأقسام الموجودة في قرص واحد، ويمكن أيضًا توسيع تلك الحجوم، مما يضيف مرونةً كبيرةً للنظام عندما تتغير المتطلبات التشغيلية.

لمحة عامة

تأثيرٌ جانبي لقوة ومرونة LVM هو درجة كبيرةٌ من التعقيد؛ ويجدر بنا التعرف على بعض المصطلحات قبل الخوض في عملية تثبيت LVM:

• الحجم الفيزيائي (PV): القرص الصلب الفيزيائي، أو قسم في قرص، أو قسم مصفوفة RAID برمجية؛ مهيئين للعمل كحجم LVM.
• مجموعة الحجوم (VG): التي تُصنَع من حجم فيزيائي واحد أو أكثر؛ ويمكن أن تُوسَّع مجموعة الحجوم بإضافة المزيد من الحجوم الفيزيائية، حيث تكون مجموعة الحجوم كقرص صلب وهمي (virtual disk drive)، الذي يُنشَأ منه المزيد من الحجوم المنطقية.
• حجم منطقي (LV): الذي يشبه القسم في الأنظمة الأخرى (التي ليست LVM)، حيث يُهيَّأ الحجم المنطقي بنظام الملفات المطلوب (‎Ext3، أو‏ XFS‎، أو‎‏ JFS ...إلخ.)، ويكون متوفرًا للوصل وتخزين البيانات.

التثبيت

سيشرح المثال في هذا القسم طريقة تثبيت نسخة الخادوم من أوبنتو مع وصل مجلد ‎/srv على حجم LVM، إذ سيُضاف حجمٌ فيزيائيٌ (PV) واحدٌ فقط أثناء عملية التثبيت، والذي يمثِّل جزءًا من مجموعة الحجوم؛ وسيضاف حجم فيزيائي آخر بعد التثبيت لشرح كيف يمكن أن تُوسَّع مجموعة الحجوم.

هنالك خياراتُ تثبيتٍ عدِّة لاستخدام LVM، الخيار الأول «موجّه - استخدام القرص بأكمله وإعداد LVM» الذي يسمح بإعطاء جزء من المساحة التخزينية المتوفرة لاستخدامها في LVM، والخيار الآخر «موجّه - استخدام القرص بأكمله وإعداد LVM مشفّر»، أو إعداد الأقسام وضبط LVM يدويًا؛ والطريقة الوحيدة لهذه اللحظة لإعداد النظام لاستخدام LVM والأقسام الاعتيادية أثناء التثبيت هو استخدام الطريقة اليدوية.

اتَّبِع خطوات التثبيت إلى أن تصل إلى خطوة «تقسيم الأقراص»، عندها:

1. في صفحة «تقسيم الأقراص»، اختر «يدويًا».
2. اختر القرص الصلب، ثم في الشاشة التالية اختر «نعم» للرد على الرسالة «هل تريد إنشاء جدول تجزئة جديد وفارغ على هذا الجهاز؟».
3. ثم أنشئ أقسام ‎/boot، و swap، و ‎/‎ بأي نظام ملفات تريد.
4. ولإنشاء ‎/srv باستخدام LVM، فأنشئ قسمًا منطقيًا جديدًا، ثم غير «طريقة الاستخدام» إلى «حجم فيزيائي لتخزين LVM»، ثم اختر «انتهى إعداد الجزء [القسم]».
5. اختر الآن «إعداد مدير الحجوم المنطقية» في الأعلى، ثم اختر «نعم» لكتابة التعديلات إلى القرص.
6. والآن اختر «إنشاء مجموعة حجوم» في «إعدادات LVM» في الشاشة التالية، ثم اختر اسمًا لمجموعة الحجوم، وليكن vg01، أو أي شيء يصفها أكثر من ذلك؛ وبعد اختيار الاسم، اختر القسم المُعَدّ لاستخدام LVM عليه، ثم «متابعة».
7. وبالعودة لصفحة «إعدادات LVM»، اختر «إنشاء حجم منطقي»، واختر مجموعة الحجوم المُنشَأة منذ قليل، وأدخل اسمًا للحجم المنطقي الجديد (على سبيل المثالsrv ﻷنه اسم نقطة الوصل المخطط لها) ثم اختر المساحة التخزينية، التي ستكون القسم بأكمله، لا تنسَ أنه يمكنك دائمًا زيادتها لاحقًا، ثم اختر «إنهاء» ويجب أن تعود لشاشة «تقسيم الأقراص».
8. لإضافة نظام ملفات إلى LVM الجديد، اختر القسم تحت «LVM VG vg01, LV srv»، أو أي اسم قد اخترته في الخطوة السابقة، ثم اختر «طريقة الاستخدام»، واضبط نظام الملفات كالمعتاد باختيار ‎/srv نقطةً للوصل، ثم اضغط على «انتهى إعداد الجزء [القسم]» عند الفراغ منه.
9. في النهاية، اختر «إنهاء التجزئة وكتابة التغيرات إلى القرص»، ثم وافق على إجراء التغيرات، وأكمل عملية التثبيت.

هذه بعض الأدوات المفيدة لعرض المعلومات حول LVM:

• الأمر pvdisplay: عرض معلومات حول الحجوم الفيزيائية.
• الأمر vgdisplay: عرض معلومات حول مجموعات الحجوم.
• الأمر lvdisplay: عرض معلومات حول الحجوم المنطقية.

توسيع مجموعات الحجوم

بإكمال مثالنا المتعلق بحجم LVM واستخدامه كنقطة وصل لمجلد ‎/srv‎‎، فسيناقش هذا القسم إضافة قرص صلب آخر، وإنشاء حجم فيزيائي (PV)، وإضافته إلى مجموعة الحجوم (VG)، وتوسيع الحجم المنطقي srv، ثم في النهاية توسيع نظام الملفات؛ يفترض هذا المثال أنَّ قرصًا صلبًا ثانيًا قد أُضيف إلى النظام، وفي هذا المثال، سيكون اسمه ‎ /dev/sdbوسنستخدم القرص بأكمله كحجمٍ فيزيائي (بإمكانك إنشاء أقسام واستخدامها كحجوم فيزيائية مختلفة).

تحذير: تأكد أنه ليس لديك قرص صلب باسم ‎ /dev/sdbقبل تنفيذ الأوامر الآتية، قد تخسر بعض البيانات إذا نفَّذت هذه الأوامر على قرص غير فارغ.

1. أولًا، أنشِئ الحجم الفيزيائي بتنفيذ الأمر الآتي في الطرفية:

sudo pvcreate /dev/sdb

2. وسِّع الآن مجموعة الحجوم (VG):

sudo vgextend vg01 /dev/sdb

3. استخدم vgdisplay لمعرفة الامتدادات الفيزيائية أو PE‏ (physical extents)، التي هي الامتدادات الفيزيائية الحرة / الحجم (الحجم التخزيني الذي حددته)، سنعتبر أن المساحة الفارغة هي ‏511 ‏PE‏ (مما يساوي2 غيغابايت إذا كان حجم PE هو 4 ميغابايت)، وسنستخدم كل المساحة الفارغة المتاحة، لا تنسَ استخدام رقم PE -أو الحجم التخزيني الحر- المتوفر عندك.

   يمكن توسيع الحجم المنطقي بعدِّة طرق، وسنشرح كيف يمكن استخدام PE لتوسعة حجم منطقي:

sudo lvextend /dev/vg01/srv -l +511

إن الخيار ‎-l يسمح بتوسعة الحجم المنطقي باستخدام PE، يسمح الخيار ‎-L للحجم المنطقي بأن يُوسَّع باستخدام الميغا، أو الغيغا، أو التيرابايت ...إلخ.

4. حتى وإن كان من المفترض أنه باستطاعتك توسيع نظام ملفات ext3 أو ext4 دون فصله أولًا، لكن من العادات الجيدة فصله على أيّة حال وتفحص نظام الملفات؛ وبهذا لن تخرِّب شيئًا في اليوم الذي تريد فيه تقليل الحجم المنطقي (إذ يكون فصل نظام الملفات في هذه الحالة إلزاميًا).

الأوامر الآتية ﻷنظمة الملفات EXT3 أو EXT4، إذا كنت تستخدم أنظمة ملفات أخرى، فتتوفر أدوات مختلفة:

sudo umount /srv
sudo e2fsck -f /dev/vg01/srv

الخيار ‎-f يجبر الأداة e2fsck على تفحص نظام الملفات وإن كان يبدو «نظيفًا».

5. في النهاية، غيِّر حجم نظام الملفات:

sudo resize2fs /dev/vg01/srv

6. ثم صِل نظام الملفات وتأكد من حجمه التخزيني:

mount /dev/vg01/srv /srv && df -h /srv

مصادر

• راجع المقالات حول LVM في ويكي أوبنتو.
• انظر مقالة LVM HOWTO للمزيد من المعلومات.
• مقالة أخرى جيدة هي «Managing Disk Space with LVM» في موقع O'Reilly المدعو linuxdevcenter.com.
• للمزيد من المعلومات حول fdisk، انظر صفحة الدليل الخاصة به.

رجمة -وبتصرّف- للمقال Ubuntu Server Guide: Advanced Installation.

أهلًا بك في سلسلة دليل إدارة خواديم أوبنتو!

ستجد هنا معلوماتٍ حول تثبيت وإعداد مختلف تطبيقات الخادوم؛ توضِّح هذه السلسلة طريقة إجراء المهام لتهيئة وتخصيص نظامك خطوةً بخطوة.

قبل أن نبدأ. ستجد خلال هذه السّلسلة إشارات من قبيل: "راجع القسم [اسم القسم]". يُقصد بذلك أقسام إما في نفس المقال (واصل قراءة المقال لتصله) أو في مقال آخر (إما سبق نشره أو سيُنشر لاحقًا) في نفس السّلسلة.

يوفر هذا الدرس لمحةً عامةً سريعةً عن تثبيت نسخة الخادوم من أوبنتو 14.04، للمزيد من المعلومات المفصَّلة، رجاءً راجع «دليل تثبيت أوبنتو».

التحضير للتثبيت

يشرح هذا القسم النواحي المختلفة التي يجب أن تؤخذ بعين الاعتبار قبل البدء بالتثبيت.

متطلبات النظام

تدعم نسخة الخادوم من أوبنتو 14.04 ثلاث معماريات رئيسية: إنتل x86، و AMD64، و ARM؛ يعرض الجدول الآتي مواصفات العتاد المستحسنة؛ لكن اعتمادًا على استخدامك للنظام، ربما يمكنك تشغيل النظام بأقل من هذه المواصفات، لكن لا ينصح أبدًا بتجاهل هذه الاقتراحات.

الجدول 2-1: مواصفات العتاد المستحسنة

توفر نسخة الخادوم أساسًا مشتركًا لجميع أنواع برمجيات الخادوم، حيث تمثل تصميمًا مصغرًا يوفر منصةً للخدمات المطلوبة، كخدمات مشاركة الملفات أو الطابعات، أو استضافة مواقع الويب، أو البريد الإلكتروني ...إلخ.

الاختلافات بين نسختي الخادوم وسطح المكتب

هنالك بعض الاختلافات بين نسخة الخادوم وسطح المكتب في أوبنتو، عليك أن تلحظ أن كلا النسختين تَستخدمان مستودعات apt نفسها، مما يجعل من السهل تثبيت تطبيق من تطبيقات الخادوم على نسخة سطح المكتب، وكذلك هو الحال في نسخة الخادوم.

تكمن الاختلافات بين النسختين في عدم وجود بيئة النوافذ X في نسخة الخادوم، بالإضافة إلى عملية التثبيت، وخيارات النواة المختلفة.

اختلافات النواة

في أوبنتو 10.10 وما قبلها، كان لنسختي الخادوم وسطح المكتب أنوية مختلفة؛ لكن أوبنتو لم تعد تفصل الأنوية الخاصة بالخواديم والأنوية الشاملة (generic)، حيث دمجتا في نواة شاملة واحدة لتقليل عبء صيانة النواة طوال فترة دعم الإصدارة.

ملاحظة: عندما تُشغِّل نسخة 64 بت من أوبنتو على معالجات 64 بت، فلن تكون محدودًا بسعة عناوين الذاكرة.

لرؤية جميع إعدادات خيارات النواة، تستطيع أن تلقي نظرةً على ‎/boot/config-3.13.0-server، وأيضًا على كتاب «Linux Kernel in a Nutshell» الذي هو مصدر رائع للمعلومات حول الخيارات المتوفرة.

النسخ الاحتياطي

يجدر بك قبل تثبيت نسخة الخادوم من أوبنتو أن تتأكد أنَّ جميع البيانات على الخادوم قد نُسِخَت احتياطيًا، وسنفصِّل النسخ الاحتياطي في درسٍ لاحق.

إذا لم تكن هذه أول مرة يُثبَّت فيها نظام تشغيل على حاسوبك، فربما عليك إعادة تقسيم القرص الصلب لإيجاد مساحة فارغة لتثبيت أوبنتو عليها.

في أي وقت تعيد فيه تقسيم قرصك الصلب، كن مستعدًا لأن تخسر جميع البيانات عليه في حال ارتكبت خطأً أو حدث شيء ما بشكل خاطئ أثناء التقسيم؛ وذلك على الرغم من أنَّ البرامج المستخدمة في التثبيت عملية جدًا وثابتة ومَرَّت عليها سنواتٌ من الاستخدام، لكنها تقوم بأمورٍ مُدمِّرة!

التثبيت من قرص مضغوط

الخطوات الأساسية لتثبيت نسخة الخادوم من قرص مضغوط هي نفس الخطوات لتثبيت أي نظام تشغيل من قرص مضغوط؛ وعلى النقيض من نسخة سطح المكتب، لا تحتوي نسخة الخادوم على نظام تثبيت رسومي؛ حيث تَستخدِم نسخة الخادوم واجهةً نصيةً عوضًا عنها.

• بدايةً، نزِّل واحرق ملف ISO الملائم من موقع أوبنتو الرسمي.
• أقلع النظام من قارئة الأقراص المضغوطة.
• سيُطلَب منك تحديد اللغة في مِحَث الإقلاع (boot prompt).

هنالك بعض الخيارات الإضافية لتثبيت نسخة الخادوم من أوبنتو الموجودة في قائمة الإقلاع الرئيسية، يمكنك تثبيت خادوم أوبنتو أساسي، أو تفحص قرص CD-ROM والتأكد من خلوه من الأعطاب، أو التحقق من ذاكرة النظام (RAM)، أو الإقلاع من القرص الصلب الأول، أو إصلاح نظام معطوب؛ ستناقش بقية هذا القسم كيفية تثبيت خادوم أوبنتو أساسي.

• يسأل المثبت عن اللغة التي سيستخدمها، وبعد ذلك سيُطلَب منك أن تختار موقعك.
• الخطوة التالية هي سؤالك عن تحديد تخطيط لوحة المفاتيح الخاصة بك، يمكنك أن تطلب من المثبت أن يحاول أن يحددها لك، أو بإمكانك اختيارها يدويًا من القائمة.
• ثم سيكتشف المثبت إعدادات العتاد لديك، ثم سيحاول ضبط إعدادات الشبكة باستخدام DHCP، إذا لم تُرِد استخدام DHCP في الشاشة التالية، فاختر «رجوع»، حيث تستطيع الوصول إلى الخيار «هيّء الشبكة يدويًّا».
• سيُعَدّ مستخدمٌ جديد، وسيحصل هذا المستخدم على امتيازات الجذر باستخدام الأداة sudo.
• بعد إكمال إعدادات المستخدم، ستُسأل عمّا إذا أردت تشفير مجلد المنزل.
• سيسألك المثبت في الخطوة التالية عن اسم المضيف (hostname)، ومنطقة التوقيت.

ثم بإمكانك الاختيار بين عدِّة خيارات لضبط تخطيط القرص الصلب، بعد ذلك ستُسأل عن القرص الذي تريد تثبيت النظام عليه، ستحصل على نوافذ للتأكيد قبل أن تعيد كتابة جدول الأقسام أو قبل إعداد LVM اعتمادًا على تخطيط القرص الصلب؛ إذا اخترت LVM، فستُسأل عن حجم القسم الجذر المنطقي؛ لخيارات الأقراص المتقدمة، راجع القسم «التثبيت المتقدم».

سيُثبَّت بعد ذلك نظام أوبنتو الأساسي.

الخطوة الآتية في عملية التثبيت هي تقرير كيفية تحديث النظام، حيث هناك ثلاثة خيارات:

• بدون تحديثات تلقائية: وهذا ما يتطلب من المدير أن يسجل الدخول إلى الحاسوب ويثبت التحديثات يدويًا.
• تثبيت التحديثات الأمنية تلقائيًا: وهذا ما سيثبت حزمة unattended-upgrades، التي ستُثبِّت التحديثات الأمنية دون تدخل من المدير؛ لمزيدٍ من المعلومات، راجع القسم «التحديثات التلقائية».
• إدارة النظام باستخدام Lanscape: إن Lanscape هو خدمة مدفوعة من كانوكيال لتسهيل إدارة الأجهزة العاملة بنظام أوبنتو؛ راجع موقع Landscape للتفاصيل.

تملك الآن الخيار لتثبيت، أو عدم تثبيت، العديد من مجموعات الحزم؛ راجع القسم «مجموعات الحزم» لمزيد من التفاصيل. وهنالك أيضًا خيار لتشغيل aptitude لاختيار الحزم التي تريد تثبيتها، للمزيد من المعلومات، انظر القسم «الأداة Aptitude».

في النهاية، آخر خطوة قبل إعادة الإقلاع هي ضبط الساعة على توقيت UTC (التوقيت العالمي).

ملاحظة: إذا لم تكن راضيًا عن الإعدادات الافتراضية في أيّة مرحلة من مراحل التثبيت، فاستخدم خاصية «رجوع» الظاهرة في أيّة نافذة لكي تذهب لقائمة التثبيت المفصلة، التي تسمح لك بتعديل الإعدادات الافتراضية.

ربما احتجت في نقطة ما أثناء عملية التثبيت إلى قراءة صفحة المساعدة التي يزودها نظام التثبيت، عندئذٍ اضغط على F1.

مرةً أخرى، راجع «دليل تثبيت أوبنتو» للحصول على تعليمات تفصيلية.

مجموعات الحزم

لديك خلال عملية تثبيت نسخة الخادوم خيارٌ لتثبيت حزم إضافية من القرص المضغوط، تُجَمَّع هذه الحزم بواسطة نوع الخدمة التي توفرها.

• خادوم DNS: تُحدِّد هذه المجموعة خادوم BIND DNS وتوثيقه.
• خادوم LAMP: تُحدِّد الحزم اللازمة لخادوم Linux-Apache-MySQL-PHP.
• خادوم Mail: هذه المجموعة تُحدِّد حزمًا متنوعة مفيدة لخادوم بريد ذي غرضٍ عام.
• خادوم OpenSSH: تحدد الحزم التي يحتاج خادوم OpenSSH لوجودها.
• قاعدة بيانات PostgreSQL: هذه المجموعة تحدد حزم العميل والخادوم لقواعد بيانات PostgreSQL.
• خادوم طباعة: تُهيِّء هذه المجموعة نظامك ليكون خادوم طباعة.
• خادوم ملفات سامبا: تُهيِّء هذه المجموعة نظامك ليكون خادوم ملفات سامبا (Samba File Server)، الذي يفيد خصوصًا في الشبكات التي فيها أنظمة ويندوز ولينُكس معًا.
• خادوم جافا «تومكات»: تُثبِّت هذه المجموعة خادوم «Apache Tomcat»، والاعتماديات اللازمة لعمله.
• مضيف آلات وهمية: تتضمن الحزم اللازمة لتشغيل آلات وهمية تعتمد على KVM.
• تحديد الحزم يدويًا: تنفيذ aptitude مما يسمح لك باختيار الحزم فرادى يدويًا.

تُثبَّت مجموعات الحزم باستخدام الأداة tasksel، أحد أهم الفروقات بين أوبنتو (أو دبيان) وغيرها من توزيعات غنو/لينُكس هي أن الحزم عندما تُثبَّت فإنها تُضبَط ضبطًا منطقيًا، وتسألك في بعض الأحيان عن المعلومات الإضافية المطلوبة؛ وبشكل مشابه، عند تثبيت مجموعة حزم فإن الحزم لا تثبت فقط بل تُعَدّ أيضًا لتوفير خدمة مندمجة جيدًا مع بعضها بعضًا.

تستطيع مشاهدة قائمة بمجموعات الحزم المتوفرة بإدخال الأمر الآتي في مِحَث الطرفية بعد أن تنتهي عملية التثبيت:

tasksel --list-tasks

ملاحظة: سيُعرَض أيضًا في الناتج مجموعات الحزم من التوزيعات الأخرى المبينة على أوبنتو، مثل كوبنتو (Kubuntu)، وايديوبونتو (Edubuntu)، لاحظ أيضًا أنك تستطيع استدعاء الأمر tasksel لوحده، الذي سيعرض لك قائمةً بمختلف مجموعات الحزم المتوفرة.

تستطيع معرفة الحزم المثبتة مع أي مجموعة باستخدام الخيار ‎--task-packages؛ على سبيل المثال، لعرض الحزم المثبتة مع مجموعة الحزم الخاصة بخادوم DNS، فإننا ندخل الأمر الآتي:

tasksel --task-packages dns-server

يجب أن يكون ناتج الأمر السابق:

bind9-doc
bind9utils
bind9

إذا لم تُثبِّت أيّة مجموعة حزم أثناء عملية التثبيت، لكنك مثلًا قررت أن تجعل خادوم LAMP الجديد عندك خادوم DNS أيضًا، فبإمكانك ببساطة إدراج قرص التثبيت وتنفيذ الأمر الآتي من الطرفية:

sudo tasksel install dns-server

الترقية

هنالك عدة طرق للترقية من إصدارة أوبنتو لأخرى، سيعطيك هذا القسم لمحةً عن طريقة الترقية المستحسنة.

الأداة do-release-upgrade

الطريقة المستحسنة لترقية نسخة الخادوم هي استخدام الأداة do-release-upgrade، التي هي جزءٌ من حزمة update-manager-core، وليس لديها أيّة اعتماديات رسومية، وهي مثبَّتة تلقائيًا.

يمكن تحديث الأنظمة المبينة على دبيان باستخدام الأمر apt-get dist-upgrade، لكن استخدام الأداة do-release-upgrade مستحسن ﻷن بإمكان تلك الأداة التعامل مع التغيرات في ضبط النظام، الذي قد يكون لازمًا في بعض الأحيان بين الإصدارات.

اكتب الأمر الآتي في مِحَث الطرفية للترقية إلى إصدارة أحدث:

do-release-upgrade

من الممكن استخدام do-release-upgrade للترقية إلى إصدارة تطويرية من أوبنتو، أضف الخيار ‎-d لفعل ذلك:

do-release-upgrade -d

تحذير: التحديث إلى إصدارة تطويرية هو أمر غير مستحسن في البيئات الإنتاجية.

ترجمة وبتصرّف لـ:

• Preparing to Install
• Installing from CD
• Upgrading

من الدّليل الرّسمي لتنصيب أوبنتو على الخواديم.

كصاحب أي موقع جدّي، فإن أمن زوّارك أو مستخدمي موقعك يجب أن يكون من أولى أولوياتك، ولعلنا كمديري مواقع لطالما أردنا أيقونة القفل تلك (أحيانا تكون خضراء) بجانب عنوان (URL) الموقع، تُشير إلى أن موقعنا آمن ويستخدم اتصالا مشفرًا بين الزائر والخادوم.

لحظة، ماهي شهادة SSL/TLS أولا؟

SSL/TLS اختصارٌ لـِ Secure Socket Layer/Transport Layer Security وببساطة هو بروتوكول لتشفير نقل البيانات بين طرفين، في حالتنا هذه بين الخادوم والمستخدم (المتصفح)، ما يضيف ميزة الحماية على بروتوكول التصّفح HTTP، ومنه جاءت إضافة حرف S له فأصبح HTTPS.

لماذا؟

بدون هذا التشفير، يتم استعمال بروتوكول التصفح العادي HTTP، وهو بروتوكول ذو طبيعة نقل بيانات في شكلها النصّي البحت. أمّا مع HTTPS فسيقوم المتصفح بتشفير البيانات أوّلا قبل إرسالها، ثم يتم فكّ تشفيرها لمّا تصل إلى الخادوم، فإن التقط أحدهم هذه البيانات وسط الطريق، لن يكون بإمكانه قراءتها ﻷنها مشفّرة.

تخيل أن لديك صفحة تسجيل دخول على موقعك (Login)، وموقعك لا يزال يستعمل HTTP، فإن حدث وأن كان أحد المتطفلين/المخترقين على نفس شبكة مُستخدمك (مثلا يتشارك معه نفس اتصال WiFi) والتقط هذا الأخير البيانات التي يرسلها مُستخدم موقعك، فسيعرف ماهو اسم المستخدم/بريده وكلمة مروره بكل سهولة ودون عناءٍ حتى.

لا يقتصر هذا على المتطفلين فقط، فقد يكون مزود الخدمة لديك (ISP) ممن يسجّل تحركات زبائنه وبالتالي يمكنه أيضا كشف بيانات الدخول أيضا. هذه أمثلة فقط فالخطر لا يُمكن حصره، فالأجدر سدّ هذا الباب.

بسبب هذا، نما في السنوات القليلة الماضية وعيٌ لدى مستخدمي الويب عموما، وجهات الويب المفتوح وحقوق المستخدم بضرورة تعميم استعمال بروتوكول HTTPS وتسهيل عملية تفعيله عوض تعقيدات التنصيب وتكلفة الشراء الباهضة.

حيث قبل أيام قليلة فقط، كان الحصول على شهادة SSL/TLS أمرًا عسيرًا وقد يتطلب ميزانية مالية سنوية معتبرة زائدة على صاحب الموقع. فإما أن تشتري شهادة من طرف أحد الهيئات العالمية المعترف بها من طرف أغلب المتصفحات (مثل Comodo و Symantec)، أو تطلب شهادة شخصية مجانية واحدة فقط غير صالحة للاستخدام التجاري من عند StartSSL، أو تمر عبر خدمة Cloudflare التي تنصب نفسها وسطا بين خادوم موقعك وزوَاره حتى تنعم بـ SSL مجاني.

مبادرة Let's encrypt

من منطلق الوعي الحاصل بضرورة توفير شهادات SSL بطريقة سهلة، مجانية، مفتوحة وتلقائية، بادرت كل من Mozilla, Facebook, Cisco، منظمة لينكس وغيرها بإنشاء هيئة ذات سلطة توليد، تفعيل وإمضاء شهادات SSL، وقد نجحت في جعلها جهة مُعترفًا بها من طرف متصفحات الويب، وأطلقتها مؤخرا لعامة الناس كمرحلة Beta لكنها فعّالة ويمكن التعويل عليها من الآن فصاعدا.

تحميل عميل أتمتة طلب شهادات Let's encrypt 

ملاحظة: حاليا، أداة العميل (client tool) تدعم فقط أنظمة يونكس، ولا يوجد دعم لخواديم Windows بعد.

أولا، يجب طبعا الدخول على خادومك عبر ssh، إن كنت لا تعرف كيفية القيام بذلك، فأكاديمية حسوب تأخذ بيدك. تأكد أنك تملك صلاحيات root.

ثانيا، عليك بتنصيب git، إن كنت على Ubuntu أو Debian مثلا فقم بالأمر التالي:

sudo apt-get install git

أما على Fedora/Centos:

sudo yum install git

وإن كنت على Arch Linux يكفي كتابة الأمر:

sudo pacman -S git

ثالثا: حمّل عميل Let's encrypt على خادومك عبر كتابة هذه الأوامر:

git clone https://github.com/letsencrypt/letsencrypt

طلب وتنصيب الشهادة لخادوم nginx

ملاحظة 1: عليك توقيف خادوم nginx للحظات لغاية انتهاء التنصيب، العميل لا يدعم توقيف وإعادة تشعيل nginx بشكل تلقائي بعد، لذلك يجب القيام بهذا يدويا.

يمكنك توقيف خادوم nginx بكتابة الأمر التالي على Debian ومشتقالتها:

sudo service nginx stop

أو عبر:

sudo systemctl stop nginx

للأنظمة التي تعتمد على systemd.

إن كنت تجهل كيفية التعامل مع خادوم nginx فإليك قسما كاملا على أكاديمية حسوب يهتم بهذا الجانب، وأنصحك أن تبدأ بهذا الدرس، عليك أن تألف إعادات nginx وكيفية عملها قبل المواصلة مع هذا الدرس.

ملاحظة 2: أي إعداد خاطئ في هذه المرحلة قد يسبب توقف موقعك لمدة مُعتبرة، يجدر بك أولا معرفة مبادئ التعامل مع nginx.

أولا يجب الدخول إلى حيث قمنا بتحميل عميل let's encrypt:

cd letsencrypt

ثم طلب الشهادة بهذ الطريقة:

sudo ./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

الأمر أعلاه يقوم بالتالي:

• sudo ./letsencrypt-auto: تشغيل عميل طلب الشهادة بصلاحيات root.
• certonly: أي أننا نطلب فقط الشهادة لوحدها دون التنصيب التلقائي لها على nginx أو ما شابه (كون هذه الخاصية لا تزال تجريبية ولا يمكن التعويل عليها).
• standalone--: أي استعمل خادوم ويب خاص يتم تشغيله للاستماع على كل من منفذي 80 و 433 لتوثيق الشهادة من طرف سلطة let's encrypt (ضروري، ولهذا وجب توقيف nginx أولا).
• d-: اختصارًا لـ domain أي النطاق أو النطاقات الفرعية التي ستكون هذه الشهادة صالحة لها.

ملاحظة: لا يمكن حاليا تمرير example.com.* مثلا إلى تعليمة d- حيث لم يتم بعد دعم wildcard domain، أي النطاقات التعميمية، لكن من السهل إضافة دعم أي نطاق فرعي آخر عبر إضافته إلى تعليمة d-.

ستجلب الأداة بعض الاعتماديات اللازمة وتنصبها على النظام ثم تُظهِر لك الرسالة التالية:

أدخل عنوان بريدك الالكتروني صحيحًا، ﻷنه سيكون مهما لاستعادة المفاتيح الضائعة أولإشعارك بأمور مهمة خاصة بشهادتك (كقرب موعد انتهاء صلاحيتها). ثم اضغط على مفتاح Enter. ستظهر بعدها إتفاقية الاستحدام -كما هو ظاهر أدناه- قم بقراءتها ثم الموافقة عليها:

سيباشر بعدها العميل بطلب الشهادة وتوثيقها، لتظهر أخيرًا الرسالة التالية:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2016-03-04. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

كما هو موضّح في الرسالة، فقد تم تنصيب الشهادة في مسار /etc/letsencrypt/live/example.com/ حيث example.com هو اسم نطاق موقعك.

يمكن تنصيب الشهادة على خادوم nginx بسهولة عبر تحرير الملف الخاص بموقعك وإضافة بضعة سطور، كالتالي:

sudo nano /etc/nginx/sites-available/www.example.com

حيث www.example.com هو اسم ملف، ويجب تغييره باسم ملف إعدادات موقعك مع nginx. ثم إضافة الأسطر التالية في كتلة server ضمن ملف الإعدادات:

http {
  server {
    listen 443 ssl;
    server_name www.example.com;
    ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;
    ... // باقي الإعدادات تجاهلها
  }
}

قم بإعادة تشغيل خادوم nginx عبر الأمر التالي:

sudo service nginx start

إن كنت على أحد الأنظمة التي تستعمل systemd فقد يكون عليك إعادة تشغيل nginx بالأمر التالي:

sudo systemctl start nginx

تهانينا لك شهادة SSL مجانية صالحة لمدة 90 يوم، يمكنك طبعا تجديدها بتشغيل نفس الأمر، كما يمكنك أتمتة عملية التجديد عبر برمجتها كمهمة cron job عبر crontab (كل شهر مثلا لتفادي أي مشكل).

تنصيب الشهادة على خادوم apache

يمكن طلب الشهادة بنفس الطريقة ثم فقط تنصيبها يدويا على خادوم Apache كما فعلنا مع nginx، يمكنك اتباع الدرس التالي من على أكاديمية حسوب لمعرفة كيفية القيام بذلك، أما إن كنت على أحد أنظمة Debian أو مشتقاتها (مثل Ubuntu) فيمكنك أتمتة العملية بأكملها (دون الحاجة لتوقيف الخادوم) عبر تشغيل الأمر التالي:

sudo ./letsencrypt-auto --apache

سيتم سؤالك طبعا عن أسماء النطاقات، بريدك الالكتروني وشروط الخدمة. أجب عليها واترك الأداة تعمل لغاية ظهور رسالة التهنئة.

ملاحظة:

في حين احتاج nginx لملفي fullchain.pem و privkey.pem فإن Apache يحتاج لملفي:

• chain.pem لتعلمية SSLCertificateChainFile.
• وprivkey.pem لتعليمة  SSLCertificateKeyFile.

بهذا نكون قد تحصلنا على شهادتنا، يمكن إلقاء نظرة على التوثيق الرسمي لتخصيص الأداة وزيادة نسبة الأتمتة وكيفية التجديد التلقائي.

على أمل أن نجعل الويب النّاطق بالعربية أكثر أمنا وخصوصية!